Data Ally: Οι απειλές κατά τον εξ αποστάσεως έλεγχο πρόσβασης

Η αύξηση της τηλεργασίας έχει παγιώσει την ανάγκη εξ αποστάσεως πρόσβασης στον χώρο εργασίας και τα δεδομένα της εταιρείας. Αυτό ενδέχεται να αποτελέσει την ευκαιρία που περίμεναν οι εγκληματίες του κυβερνοχώρου. Σύμφωνα με την πιο πρόσφατη Έκθεση διερεύνησης των περιπτώσεων παραβίασης δεδομένων της Verizon για το 2022, η λάθος χρήση της απομακρυσμένης πρόσβασης αποτελεί την τέταρτη πιο συνηθισμένη «πόρτα» που χρησιμοποιούν οι δράστες προκειμένου να υποκλέψουν δεδομένα.

Το βασικό πρόβλημα για το πρωτόκολλο απομακρυσμένης εργασίας (RDP) είναι ότι ο τρόπος με τον οποίο έχει διαμορφωθεί το καθιστά προσβάσιμο μέσω του Διαδικτύου. Οι εγκληματίες ψάχνουν στο Διαδίκτυο για διακομιστές RDP και συνήθως δεν δυσκολεύονται να τους βρουν. Μια μηχανή αναζήτησης που έχει σχεδιαστεί για την παρακολούθηση συσκευών με εκτεθειμένες θύρες ή πρωτόκολλα στο Διαδίκτυο έχει βρει περισσότερες από τέσσερα εκατομμύρια εκτεθειμένες θύρες RDP. Πρόσφατα, κυκλοφόρησαν ειδήσεις για περισσότερες από 8.000 εκτεθειμένες συσκευές εικονικού δικτύου υπολογιστών (VNC) που επιτρέπουν την πρόσβαση στο δίκτυο χωρίς να απαιτείται έλεγχος ταυτότητας. Το πιο ανησυχητικό είναι ότι πολλά από αυτά ανήκουν σε εταιρείες ζωτικής σημασίας.

Ομάδες κυβερνοεγκληματιών, όπως η ransomware Conti, έχουν αξιοποιήσει αυτόν τον τρόπο επίθεσης για να αναπτύξουν ransomware στα δίκτυα των θυμάτων τους. Η επίθεση Colonial Pipeline που πραγματοποιήθηκε από την ομάδα DarkSide είναι ένα άλλο παράδειγμα του πώς η απομακρυσμένη πρόσβαση μπορεί να μετατραπεί σε μεγάλο κενό ασφαλείας. Σε αυτή την περίπτωση, οι hackers κατάφεραν να διαπράξουν μια από τις μεγαλύτερες κυβερνοεπιθέσεις των τελευταίων ετών, εκμεταλλευόμενοι έναν εκτεθειμένο κωδικό πρόσβασης για το VPN της εταιρείας.

Σύμφωνα με την Data Ally υπάρχουν τρεις κύριες μέθοδοι που χρησιμοποιούν οι hackers για να στοχεύσουν εταιρείες:

Επιθέσεις DDoS: Οι διακομιστές RDP μπορούν να ενισχύσουν αυτόν τον τύπο απειλής με συντελεστή ενίσχυσης 85.9, πράγμα που σημαίνει ότι οι hackers μπορούν να κάνουν κατάχρηση αυτών των υπηρεσιών για να κατευθύνουν έναν τεράστιο όγκο επισκεψιμότητας στους στόχους τους, κάνοντας έτσι την υπηρεσία να καταρρεύσει.

Ανάπτυξη ransomware: Οι φορείς απειλών εισβάλλουν στο δίκτυο ενός οργανισμού μέσω του RDP, στη συνέχεια το σαρώνουν από το εσωτερικό και τοποθετούν ransomware σε συστήματα υψηλής αξίας. Αυτός ο μηχανισμός ήταν ο πιο κοινός τρόπος κυβερνοεπίθεσης μέσω ransomware για το 2020.

Παραβίαση δεδομένων: Μόλις εισέλθουν στο δίκτυο, οι εγκληματίες κινούνται για να διεισδύσουν στα βασικά δεδομένα της εταιρείας, είτε για να τα πουλήσουν είτε για να εκβιάσουν τις διοικήσεις. Σε ορισμένες περιπτώσεις, οι hackers κλέβουν δεδομένα, ενώ τα κρυπτογραφούν με ransomware.

Προκειμένου οι εταιρείες να προστατεύσουν τον εαυτό τους μπορούν να εφαρμόσουν ορισμένα προληπτικά πρωτόκολλα και μέτρα ασφαλείας. Για παράδειγμα, υπάρχουν πολλές επιλογές για την προστασία της πρόσβασης RDP σε έναν διακομιστή Windows, συμπεριλαμβανομένου του περιορισμού της πρόσβασης μέσω IP, της σύνδεσης στον διακομιστή μέσω VPN ή της αλλαγής θυρών RDP.

• MFA: Στις περισσότερες περιπτώσεις, οι διακομιστές με δημόσια πρόσβαση στο Διαδίκτυο RDP δεν ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Αυτό σημαίνει ότι οι hackers μπορούν να μπουν μέσα στο δίκτυο εισάγοντας απλώς τη διεύθυνση IP της συσκευής στην οποία θέλουν να έχουν πρόσβαση.

• VPN: Με τη χρήση ενός VPN, δημιουργείται μια κρυπτογραφημένη σήραγγα για την κυκλοφορία δικτύου μεταξύ του απομακρυσμένου χρήστη και του εταιρικού δικτύου. Τα VPN μπορούν επίσης να υποστηρίξουν MFA για τον μετριασμό της απειλής παραβιάσεων λογαριασμών. Ωστόσο, είναι σημαντικό να σημειωθεί ότι τα VPN μπορεί να είναι ευάλωτα εάν δεν ενημερώνονται ή δεν επιδιορθώνονται τακτικά.

•Αρχεία καταγραφής απομακρυσμένης πρόσβασης: Ως πρόσθετο μέτρο, είναι απαραίτητο να διατηρηθεί ιστορικό σύνδεσης και έλεγχος για απομακρυσμένους χρήστες.

• Ασφάλεια EDR (ανίχνευση και απόκριση τελικού σημείου): Η ανάπτυξη μιας λύσης ικανής να ανιχνεύει προσπάθειες πρόσβασης RDP και να αντιμετωπίζει αυτές τις προηγμένες απειλές είναι πρωταρχικής σημασίας κατά την προστασία διακομιστών ή συσκευών σε μια εταιρεία.