如何保护您的企业免受利用Microsoft远程桌面协议的网络攻击

威胁检测公司Vectra的最新报告称，远程桌面协议在业界的广泛使用使其成为黑客的诱人目标。

Microsoft的远程桌面协议（RDP）是一种用于个人和组织的访问，控制和管理远程计算机的流行且无处不在的方法。RDP是Microsoft远程桌面连接（RDC）的基础技术，RDC是Windows内置的工具，但也可用于其他平台，例如macOS，iOS和Android。但是，它非常受欢迎，使得RDP成为黑客访问远程计算机的诱人途径和可利用的途径。幸运的是，根据Vectra 在周三发布的有关RDP的2019年Spotlight报告中指出，您可以采取一些措施来控制和自定义组织中的RDP，以更好地保护其免受攻击者攻击。

根据Vectra的说法，由于RDP的广泛使用，它是易受攻击的攻击面，并且在不久的将来可能会继续如此。这是因为网络攻击者在入侵计算机和系统时通常会遵循“最小阻力路径”。该策略是尝试使用现有的管理工具来访问网络，然后引入恶意软件以扩大目标环境的范围，并最终从组织中窃取数据。

SEE：  勒索软件：IT专业人员需要了解的知识（免费PDF）  （TechRepublic）

根据该报告，Vectra从2019年1月到6月在350多个部署中检测到26,800个可疑RDP行为。350个部署中，有90％都显示了RDP攻击行为检测。制造和财务组织受到最高级别的RDP检测的打击，每10,000个工作负载和设备分别进行10和8次检测。除这两个行业外，零售，政府和医疗保健均是检测RDP攻击的前五个高风险行业之一。

Vectra的报告指出，FBI 在2018年9月警告说，RDP的恶意使用“自2016年中后期以来一直在上升。” 诸如Samsam和CrySiS之类的几种勒索软件攻击使用RDP在网络内部进行横向移动。在警告中，该机构甚至建议公司在不需要时禁用RDP。

但是许多组织权衡了使用RDP的优势与黑客入侵RDP的可能性。报告说，特别是，制造公司的IT经理可能更喜欢RDP提供的集中管理所节省的大量成本和时间，而不是网络攻击者利用它所带来的潜在抽象风险。RDP还为公司提供业务价值，因为它使他们能够集中管理全球的计算机和系统。

为什么RDP作为连接协议如此脆弱？它是否具有固有的弱点，或者是否经常以使其易于被利用的方式进行配置？

当然，RDP容易受到安全漏洞的攻击，这些漏洞会定期发现，从而迫使Microsoft提醒用户并修补漏洞。八月份，微软宣布了几个新的RDP漏洞，这些漏洞可能在没有适当凭据或用户输入的情况下执行，从而使攻击者可以远程访问和控制系统。在该公告中，甚至Microsoft都建议在不需要时禁用远程桌面服务。但是，仍然是RDP的广泛使用使其成为一个开放目标。

Vectra安全分析主管Chris Morales在一封电子邮件中对TechRepublic表示：“ RDP几乎没有任何其他管理协议易受攻击，这意味着RDP的强度取决于组织内部使用的管理身份验证的强度。” 。“使RDP更具吸引力的是该协议的普遍性，因为RDP自1996年以来在每个Windows系统上都存在，并且已在各个行业中广泛使用。RDP确实具有允许攻击者绕过身份验证并在远程系统上执行其代码的漏洞，但是这与任何软件相同。”

相反，RDP的弱点更多地在于其配置或配置错误。

莫拉莱斯对TechRepublic表示：“ RDP的问题通常是组织内部的配置和部署。” “存在共享的管理访问权限，RDP暴露于Internet的情况，并且普遍不了解组织内部如何使用RDP。”

更加有效地保护RDP免受攻击的第一步是控制其访问。

莫拉莱斯说：“组织必须限制对远程桌面管理的访问，并使用强身份验证。组织必须假设有可能做出让步，并集中精力学习远程桌面访问的对象，对象，地点和时间，包括正确分配用户访问权限。权限和减少共享凭据的实例，使组织可以专注于如何以及何时使用该访问权限。”

下一步是监视RDP的使用。

Morales补充说：“监视远程访问行为对于提高检测组织网络内部网络攻击者内部侦察和横向移动的能力至关重要。” “对这种和其他攻击者行为的可见性取决于对网络行为具有可见性的适当工具的实现。”

除了这些建议外，组织还必须通过Microsoft的支持公告使自己意识到RDP中发现的新漏洞，并下载必要的补丁程序。机器设计的一篇文章，标题为“安全地访问IIoT机器的五个问题”，也为管理RDP提供了有用的建议，尤其是在制造环境中。