Cómo proteger su entorno de escritorio remoto de ataques de fuerza bruta


Un compromiso RDP proporciona un cibercriminal con una puerta trasera para ransomware y otros tipos de malware, dice el proveedor de seguridad ESET.

cyberattack.jpg

El bloqueo de coronavirus ha llevado a una gran cantidad de organizaciones a exigir a sus empleados que trabajen desde casa. Pero muchos de esos empleados aún necesitan acceder de forma remota a las computadoras en la oficina, lo que ha provocado un aumento en el uso de programas que dependen del Protocolo de escritorio remoto (RDP) de Microsoft. Por supuesto, los cibercriminales se han lanzado sobre esta transición, por lo que RDP es más explotable que nunca. UNA informe publicado el lunes by ESET analiza cómo los atacantes se aprovechan de RDP y qué pueden hacer las organizaciones para combatirlos.

VER: Cómo trabajar desde casa: guía de profesionales de TI para teletrabajo y trabajo remoto (TechRepublic Premium)

Aunque el Protocolo de escritorio remoto puede ser un riesgo de seguridad suficiente por sí solo, las organizaciones a menudo agravan las vulnerabilidades al no asegurar adecuadamente las cuentas y servicios RDP. Las cuentas con privilegios RDP pueden tener una contraseña débil o no tener capas de seguridad adicionales. Esos defectos abren la puerta a ataques de fuerza bruta en los que los ciberdelincuentes usan herramientas automatizadas para obtener la contraseña de la cuenta. Si tienen éxito, los atacantes pueden invadir una pink, elevar sus derechos con acceso administrativo, desactivar productos de seguridad e incluso ejecutar ransomware para cifrar datos críticos y mantenerlos como rehenes.

Sin embargo, el ransomware y la extorsión no son los únicos tipos de ataques que pueden seguir un compromiso RDP, según ESET. A menudo, los atacantes intentarán instalar malware de extracción de monedas o incluso crear una puerta trasera, que luego se puede usar si alguna vez se identifica y se cierra su acceso RDP no autorizado.

Otras acciones realizadas por los atacantes después de una violación de RDP incluyen limpiar los archivos de registro para eliminar evidencia de su actividad, instalar herramientas y malware en máquinas comprometidas, deshabilitar o eliminar copias de seguridad programadas y extraer datos del servidor.

ESET ha visto un aumento este año en los ataques RDP reportados entre sus clientes. Desde poco menos de 30,000 ataques reportados por día en diciembre de 2019, el volumen ha estado rondando los 100,000 desde abril de 2020.

acceso-remoto-en-riesgo-covid-19-fuerza-bruta-ataques-eset.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/06/30/4bfff7b0-32e1 -4799-8cd4-0908b9156993 / resize / 770x / 7c010db49830091a1efb868af98ed141 / remote-access-at-risk-covid-19-brute-force-attack-eset.jpg

Tendencia de los intentos de ataque RDP contra clientes únicos por día detectados por ESET.

Imagen: ESET

«RDP ha sido un vector de ataque well-liked durante muchos años, pero esto ha aumentado aún más desde que los equipos de TI tuvieron que acomodar una fuerza de trabajo remota debido a COVID-19». dijo Javvad Malik, defensor de la conciencia de seguridad para KnowBe4.

«En un intento por mantener el espectáculo en el camino, muchos equipos de TI habrían habilitado RDP además de relajar los controles de seguridad para permitir que los empleados trabajen sin problemas desde casa», dijo Malik. «Sin embargo, todo esto se acumula como una deuda técnica, una que los delincuentes conocen bien y que los llevaría a aumentar sus ataques».

¿Cómo pueden las organizaciones protegerse mejor contra los compromisos RDP a través de ataques de fuerza bruta? Un esfuerzo clave comienza con la contraseña en sí.

«Hacer cumplir la disciplina de contraseña donde los usuarios deben elegir contraseñas complejas con mayúsculas, minúsculas, caracteres numéricos y especiales, con una longitud mínima remarkable a 14 caracteres, hace que un ataque de fuerza bruta sea mucho más complicado», dijo el CEO de Gurucul, Saryu Nayyar. «Quince caracteres son un mínimo para resistir ataques de mesa arcoiris, con contraseñas más largas que brindan una seguridad mucho mayor.

Pero incluso las contraseñas seguras deben estar respaldadas por herramientas como la autenticación multifactor y el análisis de seguridad.

«La autenticación multifactorial también puede reducir en gran medida el riesgo de ataques de fuerza bruta, ya sea a través de una aplicación o una clave de acceso físico», dijo Nayyar. «El análisis de seguridad avanzado puede ayudar a identificar un ataque de fuerza bruta antes de que una cuenta se vea comprometida al identificar los comportamientos asociados con este vector de ataque, bloqueando automáticamente el acceso a nivel de infraestructura o cuenta».

La capacitación del usuario es un issue más importante para agregar a su estrategia de defensa cibernética.

«Sin embargo, vale la pena tener en cuenta que incluso cuando se implementan estos controles de seguridad, los delincuentes aún pueden ingresar mediante ingeniería social a los usuarios», dijo Malik. «Especialmente durante este tiempo en el que muchos trabajan de forma remota desde su casa, se ha vuelto más fácil para los delincuentes enmascararse como la mesa de ayuda de TI para obtener credenciales de phishing o persuadir a los usuarios para que descarguen archivos maliciosos, por lo que el conocimiento de seguridad y la capacitación también deberían formar un componente crítico de cualquier estrategia defensiva en capas «.

Finalmente, ESET ofrece varios consejos para configurar y proteger de manera efectiva sus cuentas y servicios de acceso remoto:

  • Deshabilitar RDP con conexión a net. Si eso no es posible, minimice la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de Net.
  • Requerir contraseñas fuertes y complejas para todas las cuentas que se pueden iniciar sesión a través de RDP.
  • Use una capa adicional de autenticación (MFA / 2FA).
  • Instalar una red privada virtual (VPN) puerta de enlace para intermediar todas las conexiones RDP desde fuera de su purple community.
  • En el firewall perimetral, no permita conexiones externas a máquinas locales en el puerto 3389 (TCP / UDP) o cualquier otro puerto RDP.
  • Proteja su software de seguridad de punto closing de alteraciones o desinstalaciones protegiendo con contraseña su configuración.
  • Aísle cualquier computadora insegura u obsoleta es necesario acceder a ellos desde Online mediante RDP y reemplazarlos lo antes posible.
  • Aplicar todas estas mejores prácticas. a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios también.
  • Configure su RDP correctamente utilizando los consejos compartidos en este Informe de ESET de diciembre de 2019.

Ver también



Enlace a la noticia first