Безопасность инфраструктуры и услуг удаленного доступа во времена Covid-19

(Ди Карло Мазели)
15/06/20

В марте прошлого года 29 Республика опубликовал статью, чья подпись была такой: «Текущий медицинский и социальный кризис, спровоцированный COVID-19, привел к экспоненциальному увеличению числа людей, которые работают из дома, которые применяют умный труд для защиты здоровья населения. В то же время возрастают риски кибербезопасности. В основном это связано с двумя факторами. С одной стороны, перенос рабочих станций за пределы офиса и рост использования виртуальных платформ для совместной работы значительно расширяют базу потенциальных атак. Это может поставить под угрозу цифровую инфраструктуру, на которую мы сегодня полагаемся больше, чем когда-либо для обеспечения непрерывности бизнеса. Если не предпринять упреждающих мер, это может даже угрожать критической инфраструктуре и предоставлению критически важных услуг. С другой стороны, кризис COVID-19 предлагает киберпреступникам новые возможности для целевых атак, будь то фишинговые электронные письма или другие виды мошенничества. Эта тактика направлена ​​на то, чтобы воспользоваться наиболее уязвимой ситуацией, в которой оказались люди, поскольку они явно обеспокоены своим здоровьем и безопасностью ".

Лично я согласен наполовину с тем, что известная газета сообщает, что нападения, свидетелями которых мы являемся, затрагивают в подавляющем большинстве частную инфраструктуру, которая, увы, страдает от недостатков, которые они всегда испытывали и которые в такой период, как Это, в котором они подвергаются постоянному стрессу, показывают всю свою слабость.
В связи с этим, по сути, я хотел бы поговорить с вами о защите платформ виртуализации настольных компьютеров, которая является одной из наиболее часто используемых и, если она не настроена должным образом, представляет огромный риск для всех тех, кто не любит или не хочет их использовать. облако При всем уважении к инвестиционному портфелю в области аппаратного и программного обеспечения, буквально выбрасывается.

Руководство по безопасности для принятия удаленного рабочего стола

Быстрое увеличение умная работа За последние два или три месяца многие компании поспешили понять, как инфраструктуры и технологии смогут справиться с увеличением удаленных подключений. Многие компании были вынуждены улучшить свои возможности, чтобы разрешить удаленный доступ к корпоративным системам и приложениям, очень часто полагаясь на удаленный доступ с помощью протокола удаленного рабочего стола, который позволяет сотрудникам напрямую входить в систему. к рабочим станциям и системам.

Недавно Джон Мазерли, основатель Shodan, первая в мире поисковая машина для устройств, подключенных к Интернету, провела анализ портов, доступных через Интернет, в результате чего появились некоторые важные инновации. В частности, увеличилось количество систем, доступных через традиционный порт, что связано с использованием протокола. Протокол удаленного рабочего стола (RDP) и через известный "альтернативный" порт, используемый для RDP. Можно сказать, что исследования Джона позволили подчеркнуть широкое использование протокола RDP и его доступ к Интернету.

Хотя службы удаленного рабочего стола могут быть быстрым способом предоставления доступа к системам, необходимо рассмотреть ряд потенциальных проблем безопасности, прежде чем использование удаленного рабочего стола станет окончательной стратегией удаленного доступа. Это связано с тем, что, как сообщалось в моей предыдущей статье (Parinacota eCyber ​​Resilience), злоумышленники пытаются использовать протокол и связанный с ним сервис для взлома корпоративных сетей, инфраструктур, систем и данных.
Поэтому необходимо сделать некоторые соображения безопасности при использовании удаленного рабочего стола и сосредоточить внимание на ряде элементов, которые обязательно должны быть частью стратегии по снижению рисков, связанных с использованием RDP, и что мы можем суммировать в:

  • Прямая доступность систем в общедоступном Интернете.
  • Уязвимость и управление исправлениями уязвимых систем.
  • Внутреннее боковое движение после начального ухудшения.
  • Многофакторная аутентификация (MFA).
  • Безопасность сеанса.
  • Удаленный контроль доступа и регистрация.

С учетом этих соображений я проанализировал использование служб удаленных рабочих столов Microsoft (RDS) в качестве шлюза для предоставления доступа к системам. Шлюз использует протокол Secure Sockets Layer (SSL) для шифрования обмена данными и предотвращения прямого доступа системы, на которой размещаются службы протокола удаленного рабочего стола, к Интернету.
Чтобы определить, использует ли компания эти службы, необходимо выполнить проверку политики на брандмауэре и отсканировать адреса, выставленные в Интернете, и используемые службы, чтобы выявить любые уязвимые системы. Правила брандмауэра могут быть помечены как «Удаленный рабочий стол» или «Службы терминалов». Порт по умолчанию для служб удаленных рабочих столов - это TCP 3389, который используется протоколом RDP, хотя иногда можно использовать альтернативный порт, например TCP 3388, в случае изменения конфигурации по умолчанию.

Службу удаленного рабочего стола можно использовать для виртуализации на основе сеансов, для инфраструктуры виртуальных рабочих столов (VDI) или для комбинации этих двух служб. Службу удаленного рабочего стола Microsoft (RDS) можно использовать для защиты локальных развертываний, облачных развертываний и удаленных служб от различных партнеров Microsoft, таких как, например, Citrix. Использование RDS для подключения к локальным системам повышает безопасность, уменьшая доступ систем непосредственно к Интернету.

Инфраструктура может быть локальной, облачной или гибридной в зависимости от потребностей, доступности полосы пропускания сети и производительности.

Опыт использования виртуального рабочего стола может быть улучшен за счет использования службы виртуального рабочего стола Windows, доступной в Microsoft Azure. Определение облачной среды упрощает управление и дает возможность масштабировать службы виртуализации для виртуальных приложений и рабочих столов. Использование виртуального рабочего стола Windows, за исключением проблем с производительностью, связанных с локальными сетевыми подключениями, которые необходимо устранять с помощью увеличения пропускной способности сети, использует преимущества функций безопасности и соответствия, присущих платформе Azure.

Безопасный удаленный доступ администратора

Службы удаленных рабочих столов используются не только сотрудниками для удаленного доступа, но и многими системными разработчиками и администраторами для управления самими системами, облачными и локальными приложениями. Разрешение административного доступа к серверным и облачным системам напрямую через RDP представляет риск, поскольку учетные записи, используемые для этих целей, обычно имеют более высокие права доступа к физическим и логическим системам и инфраструктурам, включая доступ системного администратора.
В этом смысле использование облака Microsoft Azure помогает системным администраторам получать безопасный доступ с помощью групп сетевой безопасности и политик Azure, обеспечивая безопасное удаленное администрирование служб благодаря JIT (Just-In-Time ).

JIT-доступ повышает безопасность благодаря следующим мерам:

  • Рабочий процесс утверждения
  • Автоматическое удаление доступа
  • Ограничение IP-адреса разрешено для подключения

Оценка риска

При выборе и внедрении решения для удаленного доступа всегда следует учитывать фактор безопасности организации и риск-аппетит. Использование служб удаленных рабочих столов обеспечивает большую гибкость, позволяя удаленным сотрудникам иметь опыт, аналогичный работе в офисе, предлагая некоторое отделение от угроз на конечных точках (например, пользовательских устройствах, управляемых и не управляемых «организация). В то же время эти преимущества следует сравнивать с потенциальными угрозами для корпоративной инфраструктуры (сети, систем и, следовательно, данных). Независимо от реализации удаленного доступа, используемого организацией, важно внедрить лучшие практики для защиты идентификаторов и минимизировать поверхность атаки, чтобы избежать появления новых рисков.

Изображения: ВВС США Национальная гвардия / Microsoft