بسیاری از ما در حالی که از خانه کار می کنیم به RDP متکی هستیم و مهاجمان از این فرصت استفاده می کنند. در اینجا نحوه ایمن ماندن آورده شده است.
پروتکل دسکتاپ از راه دور (RDP) برای دسترسی از راه دور ضروری است. اکنون، زمانی که شرکت ها به طور فزاینده ای از مدل کار از راه دور استفاده می کنند، ارتباطات RDP به طور تصاعدی رشد کرده است. از آنجایی که RDP به کارگران راه دور اجازه می دهد تا از شبکه های شرکت خود استفاده کنند، هکرها بی وقفه حملات پروتکل دسکتاپ از راه دور را برای دسترسی و بهره برداری از شبکه های سازمانی انجام می دهند.
حمله پروتکل دسکتاپ از راه دور چیست؟
حمله RDP نوعی حمله سایبری است که با استفاده از پروتکل RDP سعی در دسترسی یا کنترل یک کامپیوتر راه دور دارد.
حملات RDP به طور فزاینده ای رایج می شوند زیرا مهاجمان به دنبال راه هایی برای استفاده از سیستم های ناامن، سرویس های در معرض خطر و نقاط پایانی شبکه آسیب پذیر هستند. هدف یک مهاجم می تواند از به دست آوردن کنترل کامل بر سیستم هدف، جمع آوری اعتبار یا اجرای کدهای مخرب متفاوت باشد.
متداول ترین روش مورد استفاده در حملات RDP، حدس زدن رمز عبور بی رحمانه با استفاده از چندین ترکیب نام کاربری و رمز عبور است تا زمانی که یک مورد کار کند.
روشهای دیگر میتواند بهرهبرداری از آسیبپذیریها در نسخهها و پیکربندیهای نرمافزار قدیمی، استراق سمع اتصالات رمزگذاری نشده از طریق سناریوهای Man-in-the-Middle (MitM) یا به خطر انداختن حسابهای کاربری با اعتبار ورود به سرقت رفته که توسط کمپینهای فیشینگ به دست میآید باشد.
چرا هکرها پروتکل دسکتاپ از راه دور را هدف قرار می دهند؟
هکرها پروتکل دسکتاپ از راه دور را به دلایل مختلف هدف قرار می دهند، از جمله:
1. از آسیب پذیری ها سوء استفاده کنید
RDP مستعد آسیبپذیریهای امنیتی مختلف است و آن را به یک هدف جذاب برای هکرهایی تبدیل میکند که به دنبال دسترسی به سیستمها و دادههای محرمانه هستند.
2. رمزهای عبور ضعیف را شناسایی کنید
اتصالات RDP با نام کاربری و رمز عبور ایمن می شوند، بنابراین رمزهای عبور ضعیف را می توان به راحتی توسط هکرهایی که از تاکتیک های brute-force یا سایر ابزارهای خودکار برای شکستن آنها استفاده می کنند، کشف کرد.
3. پورت های ناامن را کشف کنید
با اسکن شبکه، هکرها می توانند پورت های باز RDP را که به اندازه کافی ایمن نشده اند، کشف کنند و دسترسی مستقیم به سرور یا رایانه مورد نظرشان را فراهم کنند.
4. نرم افزار قدیمی
ابزارهای دسترسی از راه دور قدیمی آسیب پذیری قابل توجهی هستند زیرا ممکن است حاوی حفره های امنیتی وصله نشده ای باشند که هکرها می توانند از آنها سوء استفاده کنند.
نکاتی برای جلوگیری از حملات پروتکل دسکتاپ از راه دور
روش های زیر برای جلوگیری از حملات RDP با قابلیت پیاده سازی آسان است.
1. از احراز هویت چند عاملی استفاده کنید
یک راه حل احراز هویت چند عاملی (MFA) می تواند با افزودن یک لایه امنیتی دیگر به فرآیند احراز هویت، به محافظت در برابر حملات RDP کمک کند.
MFA از کاربران می خواهد که دو یا چند روش احراز هویت مستقل مانند رمز عبور و کد یک بار ارسال شده از طریق پیامک یا ایمیل را ارائه دهند. این امر دسترسی هکرها به سیستم را بسیار سخت تر می کند، زیرا آنها برای احراز هویت به هر دو اطلاعات نیاز دارند. فقط مراقب حملات خستگی MFA باشید.
2. احراز هویت سطح شبکه را پیاده سازی کنید
پیادهسازی احراز هویت در سطح شبکه (NLA) میتواند با الزام کاربران به احراز هویت قبل از دسترسی به سیستم، به جلوگیری از حملات RDP کمک کند.
NLA کاربر را قبل از ایجاد یک جلسه RDP احراز هویت می کند. اگر احراز هویت ناموفق باشد، اتصال بلافاصله قطع می شود. این به محافظت در برابر حملات brute-force و سایر انواع رفتارهای مخرب کمک می کند.
علاوه بر این، NLA کاربران را ملزم به اتصال با استفاده از پروتکل های TLS/SSL می کند و امنیت سیستم را افزایش می دهد.
3. گزارش های سرور RDP را نظارت کنید
نظارت بر گزارشهای سرور RDP میتواند با ارائه بینشی در مورد هر گونه فعالیت مشکوکی که ممکن است رخ دهد، به جلوگیری از حملات RDP کمک کند.
برای مثال، مدیران میتوانند تعداد تلاشهای ناموفق برای ورود به سیستم را کنترل کنند یا آدرسهای IP را که برای دسترسی به سرور استفاده شدهاند شناسایی کنند. آنها همچنین میتوانند گزارشها را برای هرگونه فرآیند راهاندازی یا خاموش کردن غیرمنتظره و فعالیت کاربر بررسی کنند.
با نظارت بر این گزارشها، مدیران میتوانند هر گونه فعالیت مخرب را شناسایی کرده و قبل از موفقیتآمیز بودن حمله، برای محافظت از سیستم اقدام کنند.
4. یک RDP Gateway را پیاده سازی کنید
نقش دروازه دسکتاپ از راه دور (RDG) فراهم کردن دسترسی ایمن به یک شبکه داخلی یا منابع شرکتی است. این دروازه با احراز هویت کاربران و رمزگذاری ترافیک بین آنها به عنوان یک واسطه بین شبکه داخلی و هر کاربر راه دور عمل می کند.
این لایه امنیتی اضافی به محافظت از دادههای حساس در برابر مهاجمان بالقوه کمک میکند و اطمینان میدهد که دادهها امن و غیرقابل دسترس برای هرگونه دسترسی غیرمجاز باقی میمانند.
5. Default RDP Port را تغییر دهید
مجرمان سایبری می توانند به سرعت دستگاه های متصل به اینترنت را که دارای پورت های RDP هستند با کمک ابزاری مانند Shodan کشف کنند. سپس، آنها می توانند با استفاده از اسکنر پورت، پورت های RDP باز را جستجو کنند.
بنابراین، تغییر پورت پیش فرض (3389) مورد استفاده توسط پروتکل دسکتاپ راه دور می تواند به جلوگیری از حملات RDP کمک کند، زیرا هکرها پورت RDP شما را از دست می دهند.
با این حال، هکرها اکنون پورت های غیر استاندارد را نیز هدف قرار داده اند. بنابراین شما باید فعالانه به دنبال حملات brute force باشید که پورت های RDP شما را هدف قرار می دهند.
6. استفاده از یک شبکه خصوصی مجازی را تشویق کنید
یک شبکه خصوصی مجازی به کاربران این امکان را می دهد که به منابع ایمن و از راه دور دسترسی داشته باشند و در عین حال داده های خود را از عوامل مخرب ایمن نگه دارند.
یک VPN می تواند با ارائه یک اتصال رمزگذاری شده بین دو کامپیوتر، در برابر حملات RDP محافظت کند. همچنین تضمین می کند که کاربران مستقیماً به شبکه شرکتی متصل نمی شوند، بنابراین خطر اجرای کد از راه دور و سایر حملات را از بین می برد.
علاوه بر این، یک VPN یک لایه امنیتی اضافی را فراهم می کند زیرا ترافیک از طریق یک تونل امن هدایت می شود که نفوذ هکرها غیرممکن است.
7. محدودیت های کنترل دسترسی مبتنی بر نقش را فعال کنید
اجرای محدودیتهای کنترل دسترسی مبتنی بر نقش (RBAC) میتواند با محدود کردن دسترسی کاربر به منابعی که برای انجام وظایف شغلی خود نیاز دارند، به حداقل رساندن آسیبهایی که مهاجمان میتوانند پس از دسترسی به شبکه ایجاد کنند، کمک کند.
با RBAC، مدیران سیستم میتوانند نقشهای فردی را تعریف کرده و بر اساس آن نقشها امتیازاتی را به آنها اختصاص دهند. با انجام این کار، سیستمها امنتر میشوند، زیرا به کاربران اجازه دسترسی به بخشهایی از سیستم که نیازی ندارند، داده نمیشود.
8. یک سیاست قفل حساب را اجرا کنید
اجرای یک خطمشی قفل حساب میتواند با محدود کردن تعداد تلاشهایی که کاربر میتواند قبل از قفل شدن حسابش انجام دهد، در برابر حملات RDP محافظت میکند.
یک خط مشی قفل مانع از استفاده مهاجمان از روشهای brute force برای امتحان و حدس زدن رمزهای عبور کاربر میشود و تعداد تلاشهای ناموفقی را که میتوان قبل از قفل شدن حساب انجام داد، محدود میکند.
این لایه امنیتی اضافی شانس دسترسی غیرمجاز از طریق رمزهای عبور ضعیف را به شدت کاهش می دهد و مهاجمان را از تلاش برای ورود چندین بار در مدت زمان کوتاه باز می دارد.
9. به روز رسانی خودکار را فعال کنید
به روز رسانی منظم سیستم عامل خود به شما کمک می کند تا مطمئن شوید که تمام آسیب پذیری های شناخته شده RDP برطرف شده و وصله شده اند، بنابراین شانس سوء استفاده توسط عوامل مخرب را محدود می کند.
از اتصال پروتکل دسکتاپ راه دور خود محافظت کنید
اگرچه حمله پروتکل دسکتاپ از راه دور می تواند برای کسب و کار شما مخرب باشد، اما اقداماتی وجود دارد که می توانید برای محافظت از خود انجام دهید. پیروی از نکات ذکر شده در این پست می تواند هدف قرار دادن شرکت شما از طریق RDP را برای هکرها سخت تر کند.