淺談RDP的風險與常見安全措施

很多公司都會用到Remote Desktop Protocol (RDP)的遙距連線功能,尤其在疫情影響下,使用人數更大副增加。設定RDP的最大問題是它能透過公共互聯網存取,RDP自身不是一個安全的設定,所以需要額外的考量去保護workstation和伺服器的安全。缺乏適當的保安措施,公司需要面對更高的網絡攻擊風險,尤其以中小企業最易成為目標,因為普遍缺乏足夠的資源去進行防護和應對網絡威脅。

利用RDP發動攻擊數字急升

根據Kroll的Matt Dunn對網絡風險的研究,網絡犯罪份子也發現RDP的使用增加趨勢,繼而瞄準那些曝露在互聯網而存在安全漏洞的目標。在2020年Q1至Q4之間,攻擊RDP的數量增加768%,在10份的報告中更指出47%的加密勒索攻擊始於RDP被破解。

有心人想尋找RDP攻擊也並非難事,透過搜索引擎Shodan掃瞄裝置某些port或protocol曝露於互聯網,結果找到超過400萬個RDP port,以及至少14000台Windows RDP伺服器可以透過互聯網去接解。

在很多個案,伺服器透過RDP公開連接到互聯網都不具備多重認證(multi-factor authentication, MFA),這意味著攻擊者破解一名用戶的帳號(例如暴力破解弱密碼組合或重複使用密碼),便能經過RDP存取該用戶的workstation。

以前作為起點,攻擊者便可以完全存取該公司的網絡,因為這類型帳號集中管理於domain level,相同登入資料能用在所有系統上。這種漏洞攻擊無需技巧高超的攻擊者也能做到,但造成的傷害可以很嚴重。

為甚麼網絡犯罪份子會看上RDP?

RDP安全漏洞十分普遍,網絡犯罪份子對它加以利用通常有不同原因,部份常見原因是希望經由RDP攻擊,進行DDoS攻擊或散播加密勒索程式。

DDoS攻擊

在DDoS攻擊中,傳送越多數據至目標網站或伺服器越好,目的是把它淹沒而迫使它下線,DDoS攻擊者可以使用不同的方法去達成目標,例如透過大規模殭屍網絡(botnet),或通過一種叫DDoS amplification的技術,發送比初始請求更更多的回應,DDoS攻擊者會偽裝準備攻擊的目標,向那些服務發送流量,然後真正的目標便會收到比攻擊者發出的更大量數據。

DDoS放大器的放大比率大約為85.9倍,所以攻擊者濫用這種服務便能讓目標收到大量資料而被迫下線。對RDP攻擊的持續增長,令公司在面向互聯網的系統安裝anti-DDoS防護變得越來越重要。

散播加密勒索程式

疫情令RDP的使用增加,令它在2020年成為了最常見的散播加密勒索程式的方法,在利用RDP存取公司網絡後,操作人員便可以瀏覽內部網絡和在高價值的系統植入加密勒索程式。此外,近期更有在開始加密之前,盜取公司敏感資料,並威脅受害者公開資料的勒索手法,而由於加密勒索程式的「高效能」,近年深受攻擊者所喜愛。

保護RDP的常見選擇

RPD對公司的保安而言存在明顯的風險,常見的的安全措施有幾種選擇,因應效能和方便使用程度各有特色。

較低效能:基於IP的存取清單

其中一種方法保護RDP攻擊是限制存取RDP,這包括實施access control lists (ACLs),只容許特定IP地址連接RDP。雖然理論上可行,但實際上並非一個好的方法,原因包括:

  • 管理:ACLs需要公司準確地判斷哪個IP地址應該或不應該容許存取RDP,擁有遙距工作團隊的話,如果僱員轉換工作位置或使用動態IP地址,該清單就要進行不斷更換。
  • 聚焦週邊:這種方法聚焦於封鎖攻擊者嘗試存取公司的網絡,然而如果攻擊者進入了網絡,便無法防止他們向其他位置移動。
  • 被破解的Endpoint:基於IP存取管理限制特定裝置連接RDP,但並不能保護針對裝置的攻擊,惡意程式安裝在員工的endpoint不會自動封鎖這些裝置經RDP連接公司網絡。

中級效能:VPN網絡

VPN是最常用的遙距存取方案,他們專門為網絡傳輸提供加密渠道,連接遙距用戶和公司網絡,VPN也支援保安方案例如MFA,以降低帳號被破解的風險。然而即使VPN被普遍應用和有深入的保安考慮,他們自身可能存在安全漏洞,也經常成為網絡犯罪份子的目標去嘗試部署惡意程式,VPN用戶必需瞭解固有的弱點並盡快安裝安全補丁。

這意味著使用VPN可能為公司的網絡製造了額外的安全漏洞,事實上使用VPN的安全漏洞也十分常見,僅次於借RDP散播加密勒索程式。

較高效能:虛擬桌面方案(Virtual Desktop Solution)

以IP為基本的ACL和VPN的問題是他們聚焦於防護公司網絡的進入點,較好的方法是同時保護進入的途徑和存取的系統。通過虛擬桌面方案的單點登入進行用戶驗證,公司可以實施MFA去控制存取,能更清楚觀察和控制遙距存取的endpoint和他們儲存、執行和傳送的數據,增加透明度有助預防在網絡內向橫移動的威脅,以及實施安全的遙距存取。

總結

公司使用RDP就要有潛在大量安全漏洞或被壞人有機可乘的自覺,考慮合適的遙距工作保安措施有助堵塞有關的安全漏洞,從而為公司網絡築起更堅強的保護。

資料來源: Threat Post