より多くの従業員が リモートでの作業 現在のコロナウイルスの発生による. 多くの企業の救済であるにもかかわらず, リモートワークもサイバーセキュリティの課題をもたらします.
Shodanの調査によると, IoTデバイスの検索エンジン, 世界中のIT部門は、リモートワークのために企業をリスクにさらしています, RDPの安全でない実装 (リモートデスクトッププロトコル).
“リモートデスクトッププロトコル (RDP) Windowsユーザーがワークステーションまたはサーバーをリモートで管理するための一般的な方法です. でも, セキュリティ問題の履歴があり、通常、他の保護なしで一般にアクセスすることはできません。 (元. ファイアウォールのホワイトリスト, 2FA),” いう Shodanの研究者.
RDPをインターネットに公開するデバイスの数は、過去1か月の間に大幅に増加したようです。, の成長とともに 41.5%. 間違いなく, この成長はコロナウイルスに関連しています (COVID-19) 状況.
Shodanの統計によると, RDPインスタンスの数は、5月のBluekeepに関する最初のMicrosoft速報の後に増加しました。 2019. それで, いわゆるDejaBlueの脆弱性が明らかになると、8月にその数は大幅に減少しました。, 新しいバージョンのRDPに影響を与える.
IT部門が過去に見た一般的な戦術は、非標準のポートに安全でないサービスを配置することです。, 隠すことによるセキュリティとも呼ばれます. 数字は非常によく似た成長をたどります (36.8%) 標準ポートで見られるように (3389). 加えて, 8% Shodanの調査結果の一部はBlueKeepに対して脆弱なままです (CVE-2019-0708).
リモートデスクトップ作業に起因するリスク
インターネット上に公開されたリモートデスクトップ
デフォルトでは, 管理者レベルのユーザーのみがRDSにログインできます. それにもかかわらず, リモートデスクトップがインターネットに公開されている場合、インターネット上の不審なユーザーが接続を試みる場合があります, ブルートフォース攻撃への扉を開く.
中間者攻撃 (MiTM)
リモートデスクトップは、クライアントとサーバー間のデータを暗号化します, ただし、ターミナルサーバーのIDを認証または検証しません, 悪意のある攻撃者による傍受に対して通信を開いたままにする. 攻撃者がARPを介してクライアントとターミナルサーバー間の接続をハッキングできる場合 (アドレス解決プロトコル), なりすましまたはDNS (ドメインネームシステム) なりすまし, これはMiTM攻撃につながる可能性があります.
暗号化攻撃
混合バージョンまたは以前のバージョンのクライアントを使用する環境, 暗号化設定は通常「クライアント互換」であることに注意してください。これはデフォルトで弱い暗号化になる可能性があります, 機密情報のより簡単な復号化を可能にします.
サービス拒否 (ネットワークレベル認証)
一部のターミナルサーバーにはネットワークレベル認証がありません (NLA) 構成済み, サービス拒否攻撃の防御にギャップを残す. サーバーがそのユーザーのセッションを作成する前に、クライアントコンピューターに認証用のユーザー資格情報を提供するように強制することはありません, 悪意のあるユーザーがサービスに繰り返し接続する可能性があります, 他のユーザーがそれを合法的に使用するのを防ぐ.
コロナウイルスの発生時にリモートデスクトップのセキュリティを向上させる方法
RDPユーザーの制限
コロナウイルスによる, この予防措置は、通常の状況ほど不可能な場合があります. でも, 企業は、ログインアクセス権を持つユーザーと、ユーザーグループにアカウントを追加または削除できるユーザーを制限できます。. インシデントを回避するために、このプロセスを監視および制限する必要があります.
仮想プライベートネットワークの使用 (VPN)
VPN接続を使用すると、システムにセキュリティの層を追加できます. VPNでは、サーバーに接続する前に、安全なプライベートネットワークに接続する必要があります. その安全なプライベートネットワークは暗号化され、サーバーの外部でホストされます. 外部IPアドレスからの接続試行はすべて拒否されます.
リモートデスクトップゲートウェイの使用
RDPゲートウェイは、システムへのリモートユーザーアクセスを削除し、ポイントツーポイントのリモートデスクトップ接続に置き換えます. これは、ユーザーがファイアウォールを介してネットワークに接続できる資格情報を必要とするログインページに移動することを意味します. VPNとペアリングした場合, これにより、セキュリティがさらに強化されます.
サイバーセキュリティの研究者は、トランスポート層のセキュリティ認証の使用も推奨しています, 高レベルの暗号化, およびネットワークレベル認証.