Remote Desktop Protocol (RDP) è il vettore di attacco ransomware più popolare e lo è stato per anni. Per il report “Incident Response and Data Breach” di Palo Alto Networks del 2020, la Unit 42 ha studiato i dati di oltre 1.000 incidenti e ha scoperto che nel 50% dei casi di distribuzione di ransomware, RDP era il vettore di attacco iniziale.
Nel report “2021 Cortex Xpanse Attack Surface Threat Report”, i ricercatori di Cortex Xpanse hanno scoperto che l'RDP rappresenta il 30% delle esposizioni totali, il che più che raddoppia la successiva esposizione più comune.
RDP è un protocollo sui sistemi Microsoft Windows progettato per consentire agli utenti di connettersi e controllare un sistema remoto. L'uso legittimo più comune consiste nel consentire al supporto IT di controllare in remoto il sistema di un utente per risolvere un problema.
Più di recente, RDP è diventato popolare per il cloud computing per accedere a macchine virtuali (VM) in ambienti cloud o per gestire in remoto le risorse cloud.
È estremamente facile esporre RDP involontariamente lasciando RDP esposti su un sistema dimenticato, un'istanza cloud, un dispositivo precedentemente protetto dalla segmentazione della rete o collegandosi direttamente a Internet.
Quel che è peggio è che RDP è diventato più esteso, più esposto e un rischio più diffuso che può portare ad attacchi, in particolare alla distribuzione di ransomware, perdita di dati, tempi di inattività costosi e sforzi di riparazione, nonché danni al marchio per le organizzazioni.
Più Esposizioni Significa Più Target
La pandemia COVID-19 ha prima portato a un'impennata del lavoro da remoto, il che significa che i laptop sono stati spostati dallo spazio sicuro di una rete aziendale con un firewall, a reti domestiche dove la sicurezza non è mai stata considerata.
L'IT non era pronto per questo cambiamento, quindi è stato necessario acquistare nuovi laptop e spedirli molto rapidamente ai lavoratori in modalità smart working. Questa velocità ha comportato molteplici errori e più esposizioni RDP. Il passaggio al lavoro da remoto ha anche esacerbato i rischi associati al DNS dinamico effimero.
I pc collegati alle reti dell'ufficio con indirizzi IP assegnati sono facili da inventariare e tracciare. Nelle singole case, i computer hanno indirizzi IP che possono cambiare di giorno in giorno man mano che i provider di servizi Internet (ISP) assegnano gli indirizzi in modo dinamico.
E tali risorse possono spostarsi da casa a un bar o a casa di amici e viceversa, ottenendo ogni volta un nuovo indirizzo IP. Questo è stato a lungo un rischio, ma in questo momento ci sono più lavoratori da remoto che mai.
Il report “Unit 42 Cloud Threat 1H 2021” ha rilevato che dal primo trimestre 2020 (pre-COVID-19) al secondo trimestre 2020 (post-COVID-19) le esposizioni RDP sono aumentate del 59% tra tutti i fornitori di servizi cloud. È più facile che mai avviare nuove istanze cloud e la probabilità che vengano commessi errori non fa che aumentare.
Quindi, il vettore RDP è ovunque; Il PSR è un obiettivo importante per i criminali informatici; e, RDP è spesso il vettore di attacco iniziale negli attacchi ransomware. Sfortunatamente, ci sono altre cattive notizie.
Secondo il rapporto Cortex Xpanse, il vettore RDP ha rappresentato il 32% dei problemi di sicurezza complessivi riscontrati nelle scansioni di 50 milioni di indirizzi IP associati a 50 aziende globali nei primi tre mesi del 2021.
Perché il Vettore RDP è Pericoloso?
RDP è uno dei bersagli preferiti dei criminali informatici perché una volta che un utente malintenzionato è entrato, ha accesso completo (fino al livello dell'account utente compromesso) al sistema.
Se un account amministratore viene attaccato, è un disastro. Ma, anche se viene compromesso un account utente più limitato, l'attaccante deve solo trovare un'altra vulnerabilità su quel sistema per elevare i privilegi e ottenere più accesso.
Per gli attori malintenzionati, trovare RDP esposto richiede un semplice script nmap che esegue la scansione di Internet per una porta aperta 3389, la porta RDP predefinita. Oggi, gli aggressori cercano costantemente la porta 3389, come mostrato nella Figura X.
Secondo la ricerca Cortex Xpanse, i criminali informatici possono scansionare Internet in soli 45 minuti. Quindi, se il vettore RDP viene esposto, sarà trovato e ci sono diversi modi in cui un utente malintenzionato può entrare:
- Sfruttare le credenziali di cui si è impossessato per accedere;
- Forzare l'accesso (se l'implementazione consente tentativi di accesso illimitati);
- Eseguire un attacco man-in-the-middle, se si tratta di una versione obsoleta di RDP o se utilizza una crittografia errata;
- Sfruttare le vulnerabilità note nelle versioni precedenti di RDP, come BlueKeep.
Evitare la Lotteria del Ransomware
Gli attori malintenzionati non sono sempre alla ricerca di obiettivi specifici. Il più delle volte, cercano solo vulnerabilità e sperano che un attacco si traduca in un pagamento.
Il primo passo per qualsiasi organizzazione consiste nel limitare il rischio RDP eseguendo la scansione delle vulnerabilità più velocemente di quanto possano fare gli avversari ed è necessario avere piena visibilità e un sistema completo di record per tutti i dispositivi connessi a Internet.
Questo record deve essere costantemente aggiornato perché potrebbero apparire nuovi asset e le risorse note potrebbero avere impostazioni modificate in modalità rischiose. Gli scanner di vulnerabilità non possono trovare queste esposizioni se esistono nello spazio IP esterno, quindi è necessario eseguire la scansione dall'esterno verso l'interno.
Le aziende leader utilizzano il tempo medio di inventario (MTTI) per misurare la velocità con cui possono eseguire la scansione dell'inventario completo e valutare le potenziali esposizioni.
La modalità migliore per assicurarsi di non avere esposizioni RDP non necessarie è semplicemente disabilitare RDP su tutti i sistemi in cui non è necessario. Per i sistemi in cui è necessario RDP, è importante seguire le misure di sicurezza:
- Posizionare RDP dietro una rete privata virtuale (VPN);
- Abilitare l'autenticazione a più fattori (MFA). Il modo migliore per mitigare i rischi relativi alle credenziali rubate consiste nell'assicurarsi che l'autenticazione a più fattori sia abilitata su tutti gli account utente;
- Per mitigare il rischio di attacchi di forzati, limitare i tentativi di accesso non riusciti anziché consentire tentativi illimitati;
- Impostare limiti di tempo per le sessioni disconnesse e terminare automaticamente le sessioni che raggiungono tale limite;
- Considerare un elenco di autorizzazioni in modo che solo gli indirizzi IP approvati possano connettersi ai server RDP;
- Distribuire una soluzione di monitoraggio della superficie di attacco su scala Internet, come Cortex Xpanse, per monitorare esposizioni indesiderate di RDP o altri servizi di accesso remoto.
Fare di RDP una Priorità
A questo punto, dovrebbe essere chiaro perché RDP = Ransomware Deployment Protocol. La configurazione RDP dovrebbe essere un elemento prioritario in tutti i piani di igiene IT. È un protocollo che ha impostazioni predefinite pericolose ed è troppo facile per un utente abilitarlo o utilizzarlo in modi rischiosi.
Se non configurato correttamente, RDP verrà utilizzato come vettore di attacco se/quando la tua organizzazione viene presa di mira da operatori di ransomware.
Palo Alto Networks offre una suite completa di Next-Generation Security Platforms per la protezione a 360 gradi dell'azienda dalle minacce informatiche.
Con più di 42,500 clienti in oltre 150 paesi, Palo Alto Networks è la soluzione professionale utilizzata da oltre 85 aziende della classifica Fortune 100 e riconosciuta da Gartner come leader nel mercato Firewall di nuova generazione.
Se vuoi avere maggiori informazioni su Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.