Plus d'employés le travail à distance en raison de l'épidémie de coronavirus actuelle. En dépit d'être un salut pour de nombreuses entreprises, le travail à distance apporte également des défis de la cybersécurité.
Selon la recherche Shodan, le moteur de recherche pour les appareils IdO, Les services informatiques dans le monde exposent leurs entreprises à risque en raison de travaux à distance, et la mise en œuvre non sécuritaire de RDP (Remote Desktop Protocol).
“Le Remote Desktop Protocol (RDP) est une façon courante pour les utilisateurs Windows de gérer à distance leur station de travail ou serveur. Cependant, il a une histoire de problèmes de sécurité et, en général ne devraient pas être accessibles au public sans aucune autre protection (ex. firewall liste blanche, 2FA),” dire chercheurs Shodan.
Il semble que le nombre de périphériques à l'RDP exposant Internet a considérablement augmenté au cours du mois passé, avec une croissance de 41.5%. Indubitablement, cette croissance est liée à coronavirus (Covid-19) situation.
Selon les statistiques de Shodan, le nombre d'instances RDP est passé après le bulletin Microsoft initial sur Bluekeep mai 2019. Puis, le nombre a considérablement diminué en Août une fois que les soi-disant vulnérabilités ont été révélées DejaBlue, impact sur les nouvelles versions de RDP.
Une tactique commune que nous avons vu dans le passé par les services informatiques est de mettre un service non sécurisé sur un port non standard, aussi connu comme la sécurité par l'obscurité. Les chiffres suivent une croissance très similaire (36.8%) comme on le voit pour le port standard (3389). En outre, 8% des résultats de la recherche Shodan restent vulnérables aux BlueKeep (CVE-2019-0708).
Les risques liés au travail Bureau à distance
Ordinateurs de bureau à distance exposé sur Internet
Par défaut, seuls les utilisateurs de niveau administrateur peuvent se connecter à RDS. Cependant, il y a des cas où les utilisateurs suspects sur Internet peuvent tenter des connexions bureau à distance si est connecté à Internet, ouvrir la porte à des attaques par force brute.
Man-in-the-middle (MiTM)
Remote Desktop crypte les données entre le client et le serveur, mais il n'authentifie pas ou vérifier l'identité du Terminal Server, laissant les communications ouvertes à l'interception par des acteurs malveillants. Si un acteur de menace est capable de pirater la connexion entre le client et le serveur Terminal via ARP (Address Resolution Protocol), usurpation d'identité ou DNS (Système de noms de domaines) spoofing, cela pourrait conduire à une attaque MiTM.
Les attaques de chiffrement
Dans un environnement utilisant des clients mixtes ou version antérieure, il convient de noter que le paramètre de chiffrement est généralement « Compatible client. » Cela pourrait par défaut chiffrement faible, permettant le déchiffrement de l'information sensible facile.
Déni de service (Au niveau du réseau d'authentification)
Certains serveurs Terminal Server ne sont pas au niveau du réseau d'authentification (NLA) configurée, en laissant un espace dans la défense des attaques par déni de service. Sans forcer un ordinateur client pour fournir des informations d'identification de l'utilisateur pour l'authentification avant le serveur créer une session pour cet utilisateur, les utilisateurs malveillants peuvent établir des connexions répétées au service, empêcher d'autres utilisateurs d'utiliser légitiment.
Comment améliorer la sécurité du Bureau à distance lors de l'éclosion de coronavirus
Limiter les RDP
En raison du coronavirus, cette précaution peut ne pas être possible que dans des situations normales. Cependant, les entreprises peuvent limiter l'accès qui a de connexion ainsi que qui peut ajouter ou supprimer des comptes du groupe d'utilisateurs. Ce processus doit être contrôlé et limité afin d'éviter tout incident.
L'utilisation d'un réseau privé virtuel (VPN)
En utilisant une connexion VPN peut ajouter une couche de sécurité supplémentaire au système. VPN nécessite qu'une connexion est faite au réseau privé sécurisé avant qu'il ne soit fait à votre serveur. Ce réseau privé sécurisé est crypté et hébergé en dehors de votre serveur. Toute tentative de connexion faites à partir des adresses IP à l'extérieur seront rejetées.
L'utilisation d'une passerelle Bureau à distance
passerelles RDP supprimer l'accès utilisateur distant à votre système et le remplacer par un point à point de connexion de bureau à distance. Cela signifie que les utilisateurs accéder à une page de connexion nécessitant des informations d'identification où ils peuvent se connecter au réseau via un pare-feu. Lorsqu'il est associé à un réseau privé virtuel, ce renforce encore la sécurité.
les chercheurs en sécurité cybernétique recommande également l'utilisation de la couche de transport d'authentification de sécurité, cryptage de haut niveau, et au niveau du réseau d'authentification.