Что такое атака RDP и как защититься от нее?
Сказать, что кризис COVID-19 застал нас врасплох, было бы преуменьшением десятилетия. Никто не ожидал, что вспышка будет такой большой, и когда мы поняли, насколько серьезной была проблема, волна террора зародилась во всех странах и континентах. Началась настоящая паника, и, возможно, неудивительно, что киберпреступники пытались (и во многих случаях удалось) воспользоваться этим.
Между тем, правила социального дистанцирования, введенные во многих странах, означали, что тысячи компаний отправляли своих сотрудников на работу из дома. Вы, вероятно, не будете слишком удивлены, узнав, что киберпреступники пытались использовать это также.
Table of Contents
Киберпреступники атакуют RDP, а мир застрял дома
На прошлой неделе исследователи из Kaspersky представили серию диаграмм, которые иллюстрируют еще одно изменение, вызванное пандемией COVID-19.
Речь идет о RDP-атаках и о том, насколько они более широко распространены с начала блокировки. Числа отличаются от страны к стране, но тенденция ясна как дневной свет - атаки против протокола RDP стали намного более популярными с начала пандемии коронавируса.
Это новое открытие не будет слишком большим шоком для тех из вас, кто знает, что такое RDP. Те, кто не может теперь узнать.
Что такое RDP, и почему киберпреступники любят его так сильно?
RDP - это сокращение от «Протокол удаленного рабочего стола». Это протокол взаимодействия приложений, который позволяет пользователю подключаться к удаленному компьютеру или серверу Windows и использовать графический интерфейс операционной системы. Он был разработан Microsoft и по умолчанию использует порт 3389. Как вы уже догадались, RDP-соединение с удаленной конечной точкой происходит после ввода набора действительных учетных данных для входа.
RDP существует уже некоторое время, и атаки на него почти столь же стары, как и сейчас. За прошедшие годы исследователи безопасности выявили ряд уязвимостей, и было множество хакерских утилит, использующих эти уязвимости. Однако наиболее распространенный способ компрометировать RDP - это смиренная атака грубой силой.
Печальные привычки пользователей по управлению паролями отражаются и на безопасности RDP. Располагая списками простых и предсказуемых учетных данных для входа, хакеры могут легко скомпрометировать большое количество компьютеров и серверов, на которых работает RDP. Атака может быть простой, но поскольку она предоставляет киберпреступникам более или менее беспрепятственный доступ к скомпрометированной конечной точке, вред, который она может причинить, огромен. Из-за этого существуют темные веб-площадки, посвященные торговле скомпрометированными учетными данными RDP.
Атаки на конечные точки с поддержкой RDP стали более популярными во время пандемии COVID-19 по нескольким очевидным причинам. Хотя сотрудников отправляли на работу из дома, им по-прежнему требовался доступ к корпоративным ресурсам по сети, и многие организации решили установить его через протокол удаленного рабочего стола. Как видно из диаграмм Касперского, киберпреступники надеются, что конфигурация RDP не особенно безопасна в некоторых случаях, и, к сожалению, они вполне могут быть правы.
Как мы уже упоминали, исторически системные администраторы допускали ошибки влево, вправо и в центре, когда речь шла о конфигурации RDP, и на этот раз они были вынуждены спешно создать рабочую среду для многих пользователей, что еще больше увеличивает вероятность ошибок.
Как защитить себя от атаки RDP?
По большей части атаки на RDP являются простыми попытками грубой силы, и, как вы, вероятно, знаете, самый простой способ защитить себя от любой грубой атаки - использовать надежный пароль, который больше нигде не используется. Однако RDP представляет собой большую поверхность для атаки, поэтому системные администраторы могут поступить хуже, чем учитывать одну или две другие вещи.
Убедитесь, что все, кто использует протокол, обновили свое программное обеспечение, и, если у вас есть корпоративный VPN, включите RDP только через него. По возможности используйте двухфакторную аутентификацию и старайтесь не использовать конфигурацию протокола по умолчанию. Это не обязательно остановит хакеров, но может замедлить их, и часто это все, что нужно. И последнее, но не менее важное: если вам не нужен RDP, просто отключите его и закройте порт 3389.
