Más empleados son trabajando de forma remota debido al brote de coronavirus actual. A pesar de ser una salvación para muchas empresas, trabajo a distancia también trae algunos problemas de seguridad cibernética.
De acuerdo con la investigación Shodan, el motor de búsqueda de dispositivos IO, Los departamentos de TI a nivel mundial están exponiendo a sus empresas a riesgo debido al trabajo a distancia, y la aplicación insegura de RDP (Protocolo de escritorio remoto).
“El protocolo de escritorio remoto (RDP) es una forma común para los usuarios de Windows para gestionar de forma remota su estación de trabajo o servidor. Sin embargo, tiene un historial de problemas de seguridad y, en general no deben ser accesibles al público sin ningún otro tipo de protección (ex. cortafuegos lista blanca, 2FA),” decir investigadores Shodan.
Parece ser que el número de dispositivos que exponen RDP a Internet ha aumentado significativamente durante el curso del mes pasado, con un crecimiento de 41.5%. Indudablemente, este crecimiento está ligado a Coronavirus (Covid-19) situación.
De acuerdo con las estadísticas de Shodan, el número de casos de RDP subió después de que el primer boletín de Microsoft en Bluekeep de mayo de 2019. Entonces, el número se redujo significativamente en agosto una vez que los llamados vulnerabilidades DejaBlue fueron revelados, impactando las nuevas versiones de RDP.
Una táctica común que hemos visto en el pasado por los departamentos de TI es poner un servicio inseguro en un puerto no estándar, también conocido como la seguridad por oscuridad. Los números siguen un crecimiento muy similar (36.8%) como se ve por el puerto estándar (3389). Adicionalmente, 8% de los resultados de la investigación de Shodan siendo vulnerables a BlueKeep (CVE-2019-0708).
Riesgos derivados de la distancia de trabajo de escritorio
Escritorios remotos expuesto en Internet
Por defecto, sólo los usuarios de nivel de administrador pueden iniciar sesión en el RDS. No obstante, hay algunos casos en los que los usuarios sospechosos en el Internet pueden intentar las conexiones en caso de escritorio remoto está expuesto a internet, abriendo la puerta a ataques de fuerza bruta.
Man-in-the middle (MiTM)
Escritorio remoto encripta los datos entre el cliente y el servidor, pero no autentica o verificar la identidad del servidor terminal, comunicaciones dejando abierta a la interceptación por parte de actores maliciosos. Si un actor de amenaza es capaz de introducirse en la conexión entre el cliente y el servidor terminal a través de ARP (protocolo de resolucion de DIRECCION), spoofing o DNS (sistema de nombres de dominio) spoofing, esto podría conducir a un ataque MiTM.
Los ataques de cifrado
En un entorno en el uso de clientes mixtos o de versiones anteriores, cabe señalar que la configuración de cifrado es típicamente “Cliente compatible.” Esto podría defecto cifrado débil, permitiendo la fácil descifrado de la información sensible.
Negación de servicio (Autenticación a nivel de red)
Algunos servidores de terminales no tienen Autenticación a nivel de red (NLA) configurado, dejando un hueco en la defensa de ataques de Denegación de Servicio. Sin obligar a un equipo cliente para proporcionar credenciales de usuario para la autenticación previa al servidor crear una sesión para ese usuario, usuarios maliciosos pueden hacer conexiones repetidas al servicio, evitando que otros usuarios se uso legítimo.
Cómo mejorar la seguridad de escritorio remoto durante el brote de coronavirus
Limitar a los usuarios RDP
Debido al coronavirus, esta precaución puede que no sea posible, ya que en situaciones normales. Sin embargo, las empresas pueden limitar quién tiene acceso de inicio de sesión, así como que puede agregar o quitar cuentas del grupo de usuarios. Este proceso debe ser controlado y restringido para evitar cualquier incidente.
El uso de una red privada virtual (VPN)
El uso de una conexión VPN puede añadir una capa extra de seguridad al sistema. VPN requiere que se establezca una conexión a la red privada segura antes de que se hace a su servidor. Esa red privada segura se encripta y alojado fuera de su servidor. Cualquier intento de conexión hechos de direcciones IP externas serán rechazadas.
El uso de una puerta de enlace de Escritorio remoto
pasarelas RDP eliminar el acceso de usuarios remotos a su sistema y reemplazarlo con una conexión de escritorio remoto punto a punto. Esta usuarios medios navegar a una página de inicio de sesión que requiere credenciales en el que puedan conectarse a la red a través de un cortafuegos. Cuando se combina con una VPN, Esto mejora la seguridad aún más lejos.
los investigadores de seguridad cibernética también recomiendan el uso de la capa de transporte de autenticación de Seguridad, cifrado de alto nivel, y la autenticación a nivel de red.