Volgens SANS Institute vonden er in maart 30 procent meer aanvallen op Remote Desktop Protocol-servers plaats. De stijging komt overeen met de toename aan blootgestelde RDP-servers gemeten door Internet of Things (IoT)-zoekmachine Shodan.
De bevindingen wijzen op een risico voor bedrijven die door de coronamaatregelen plotseling via RDP moeten werken. Om werknemers in staat te stellen hun werk zo goed mogelijk vanuit thuis voort te zetten, hebben organisaties RDP geïmplementeerd dat vertrouwelijke systemen aan het publieke internet zou kunnen blootstellen.
“Per maand ligt het gemiddelde aantal aangevallen IP-adressen op 2.600, maar in maart waren dit er zo’n 3.540 per dag. RDP is geen protocol dat krachtig genoeg is om aan het internet te worden blootgesteld. We zien nu dat aanvallers zwakke inloggegevens verhandelen die ze voor deze RDP-servers hebben gevonden. Een beschadigde RDP-server kan leiden tot een complete beschadiging van het blootgestelde systeem en zal waarschijnlijk worden gebruikt om andere systemen binnen het netwerk aan te vallen en te exploiteren”, aldus Johannes Ullrich van SANS Institute.
Remote Desktop Protocol is een door Microsoft ontwikkeld protocol dat een grafische interface biedt om via een netwerkverbinding met andere computers een verbinding te leggen. Het is voor bedrijven een goedkope en eenvoudige manier om productief thuiswerken mogelijk te maken. Een gebruiker dient hiervoor RDP-clientsoftware te gebruiken, terwijl de andere computer RDP-serversoftware moet toepassen.
Veilig thuiswerken
Ullrich adviseert bedrijven die RDP hebben geïmplementeerd om RDP-servers te beveiligen met unieke, lange en willekeurige wachtwoorden en indien mogelijk alleen toegang te verlenen aan werknemers via een VPN. “Microsoft biedt ook RDP Gateway die kan worden gebruikt om een sterk authenticatiebeleid op te zetten. Bedrijven kunnen proberen de toegang tot RDP vanaf specifieke IP-adressen te beperken wanneer er op een bepaald moment geen VPN kan worden geïmplementeerd. Dit kan alleen moeilijk zijn wanneer IT-beheerders vanuit huis met dynamische IP-adressen werken”, zegt Ullrich.
Een andere optie volgens hem is om een cloudserver als startpunt te gebruiken. “Zet de cloudserver op de whitelist en gebruik veilige protocollen zoals SSH om verbinding met de cloudserver te maken. Deze techniek kan als snelle oplossing werken wanneer bedrijven geen uitvaltijd willen riskeren en iedereen op afstand werkt.”
Tip: Cybercriminaliteit steeds geavanceerder: “we kunnen zo niet doorgaan”
9 uur geleden
