Flere ansatte jobber hjemmefra på grunn av coronaviruset. Til tross for at det er en frelse for mange virksomheter, følger det med noen utfordringer når det gjelder datasikkerhet.
I følge en Shodan-undersøkelse (søkemotoren for IoT-enheter), utsetter IT-avdelinger sine selskaper for risiko på grunn av eksternt arbeid og usikker implementering av RDP (Remote Desktop Protocol).
RDP er en vanlig måte for Windows-brukere å administrere ekstern arbeidsstasjoner eller servere på. Dessverre har den hatt mange sikkerhetsproblemer og bør generelt ikke være offentlig tilgjengelig uten andre beskyttelser (eks. brannmur-hviteliste, 2FA), sier Shodan-forskere.
Det ser ut til at antall enheter som utsetter RDP for Internett har økt betydelig i løpet av den siste måneden, med en vekst på 41,5%. Denne veksten er åpenbart knyttet til situasjonen rundt Coronaviruset (Covid-19).
I følge Shodans statistikk gikk antallet RDP-forekomster opp etter den opprinnelige Microsoft-varsel på Bluekeep i mai 2019. Deretter falt antallet betydelig i august når de såkalte DejaBlue-sårbarhetene ble avslørt, noe som påvirket nyere versjoner av RDP.
En vanlig taktikk, som vi har sett tidligere, er at IT-avdelinger setter en usikker tjeneste på en ikke-standard port. Dette kalles for «security by obscurity» (sikkerhet via uklarhet). Antall tilfeller av denne taktikken (for standard port 3389) har vokst med 36,8%. I tillegg er 8% av resultatene fra Shodans forskning fortsatt sårbare for BlueKeep (CVE-2019-0708).
Eksterne stasjonære PC-er sårbare på Internett
Som standard er det bare brukere på administratornivå som kan logge seg på RDS. Men det er noen tilfeller der mistenkelige Internett-brukere prøver å tilkoble dersom et eksterne skrivebordet tilgjengelig via Internett. Denne sårbarheten åpner døren for «brute-force» angrep.
Man-in-the Middle angrep (MiTM)
Det eksterne skrivebordet krypterer data mellom klient og server, men det verifiserer ikke identiteten til Terminal Server, slik at kommunikasjonen står åpen for avskjæring av ondsinnede aktører. Hvis en trusselaktør er i stand til å hacke seg inn i forbindelsen mellom klient og Terminal Server via ARP (Address Resolution Protocol), spoofing, eller DNS (Domain Name System) spoofing, kan dette føre til et MiTM-angrep.
Krypteringsangrep
I et miljø med blandede klienter, eller tidligere versjon klienter, må det bemerkes at krypteringsinnstillingen vanligvis er "Client Compatible." Dette kan føre til svak kryptering, noe som muliggjør enklere dekryptering av sensitiv informasjon.
Denial of Service (autentisering av nettverksnivå)
Noen terminalservere har ikke Network Level Authentication (NLA) konfigurert, noe som etterlater et skille i forsvaret mot angrep på Denial of Service. Dersom man ikke tvinger en klientdatamaskin til å gi brukeropplysninger for autentisering før serveren oppretter en økt for den brukeren, kan ondsinnede brukere opprette gjentatte tilkoblinger til tjenesten og forhindre at andre legitime brukere får bruke den.
Begrens RDP-brukere
På grunn av koronaviruset er det mulig at denne forholdsregelen ikke er mulig som i normale situasjoner. Bedrifter kan imidlertid begrense hvem som har innloggingstilgang, samt hvem som kan legge til, eller fjerne, kontoer fra brukergruppen. Denne prosessen bør overvåkes og begrenses for å unngå hendelser.
Bruk et virtuelt privat nettverk (VPN)
VPN-tilkobling kan være et ekstra sikkerhetslag i systemet. VPN krever at det kobles til det sikre, private nettverket før det opprettes til serveren din. Det sikre, private nettverket er kryptert og vert utenfor serveren din. Eventuelle tilkoblingsforsøk gjort fra eksterne IP-adresser vil bli avvist.
Bruk en ekstern «Remote Desktop Gateway»
RDP-portene fjerner ekstern brukertilgang til systemet ditt og erstatter det med en punkt-til-punkt ekstern stasjonær tilkobling. Dette betyr at brukere navigerer til en påloggingsside som krever legitimasjon der de kan koble seg til nettverket via en brannmur. Når det er sammenkoblet med en VPN, forbedrer dette sikkerheten ytterligere.
Datasikkerhetsforskere anbefaler også bruk av «Transport Layer Security Authentication», kryptering på høyt nivå, og autentisering på nettverksnivå.