Журнал "Директор по безопасности" Октябрь 2020 | Page 23

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ

Защита от атак на удаленный рабочий стол

ТИМУРБУЛАТ СУЛТАНГАЛИЕВ , директор практики информационной безопасности компании AT Consulting ( входит в Лигу Цифровой Экономики )

Большая часть компаний в связи с пандемией коронавирусной инфекции была вынуждена перейти на дистанционный формат работы и использовать RDP-протокол для обеспечения рабочего процесса . Такой переход для крупных компаний , уже имеющих опыт удаленной работы , стал безболезненным , однако остальные организации не были готовы к дистанционной работе , соответственно , возникшие сложности могли серьезно подорвать рабочий процесс .

С массовым переходом на удаленный рабочий стол , кибератаки на него также возросли . Компания ESET выявила увеличение количества атак хакеров через RDP-протокол во втором квартале 2020 года более чем в два раза по сравнению с первым .

Снижение уровня информационной безопасности компаний в пандемию связано еще и с тем , что взломать домашний компьютер сотрудника технически проще , чем рабочий . Основная причина – менее надежная система безопасности . Если корпоративные устройства , как правило , отвечают необходимому уровню защиты от хакерских атак , то на персональных компьютерах максимум устанавливаются антивирусы .

Кроме того , домашняя сеть сотрудника представляет угрозу для компании . Человек может использовать незащищенное паролем подключение , общую Wi-Fi сеть или же сеть с паролем от провайдера , который не представляет сложности получить . Такое подключение к сети крайне уязвимо для внешнего вмешательства . Еще один фактор снижения уровня информационной безопасности компаний в пандемию – это компьютерная грамотность сотрудников . Многие компании проводят обучение на тему цифровой гигиены , чтобы уберечь сотрудника и компанию от неприятных последствий кибератак . Тем не менее , не все могут вовремя распознать спам , что приводит к неприятным последствиям для компании .

Успешная атака на персональный компьютер , подключенный к удаленному рабочему столу , предоставляет хакеру массу возможностей : он получает доступ к конфиденциальной информации компании ( проектам , разработкам и т . д .), может устанавливать и удалять программы , создавать учетные записи в системе , а также может запустить вирус .

Что же поможет защититься от атак на удаленный рабочий стол ( RDP )?

Усиленный пароль . Самая простая и эффективная вещь , которую можно применить , чтобы не стать жертвой атаки RDP методом подбора пароля – усилить этот пароль . Он должен быть длинным , уникальным , сложным и содержать цифры , символы , прописные и строчные буквы . Сложный пароль – самый элементарный из возможных советов , но пренебрегать им не стоит . Согласно исследованию ESET , количество серверов , на которые были совершены брутфорс-атаки , выросло весной на 30 %, к тому же Россия заняла первое место по количеству уникальных атак такого типа с начала 2020 года .

Ограничение удаленного доступа . Чтобы еще больше снизить риск атаки , можно установить ограничение на количество пользователей , которые могут войти в систему с помощью RDP . Разрешенный доступ к RDP только для тех , кто в этом действительно нуждается , сводит к минимуму риск нарушения безопасности . Например , доступ к бухгалтерской отчетности не нужен всем сотрудникам , его можно ограничить .

Политика блокировки учетных записей . Атаки методом подбора пароля требуют сотен , тысяч или даже миллионов попыток входа в систему . Можно замедлить реализацию атаки , настроив простую политику , которая блокирует доступ пользователей после определенного количества попыток неуспешного входа в течение определенного периода времени .

Шлюз RDP . Шлюзовой сервер RDP делает более безопасным подключение с помощью шифрования , он использует протокол удаленного рабочего стола вместе с протоколом HTTPS . Шлюз позволит определить , кто из пользователей имеет возможность подключаться удаленно и к каким ресурсам может быть доступ . Открытый доступ системы для всех пользователей значительно снижает ее защищенность .

Изменение порта RDP . При сканировании сети злоумышленники часто ищут соединения , которые используют порт RDP по умолчанию ( TCP 3389 ). Можно « скрыть » свое RDP-соединение , изменив порт по умолчанию .

Это обеспечит эффективную защиту от вредоносных программ типа RDP-червей , таких как Morto . Данный способ не является самым надежным подходом к обеспечению безопасности , поэтому совместно с ним необходимо использовать другие методы ограничения доступа , которые приведены в данной статье .

Средства защиты информации . Существует большой выбор программных решений ( средств защиты информации ), которые обнаруживают неудачные попытки входа в систему из внешней среды , идентифицируют атаки и блокируют их .

Защита RDP-соединений процесс трудоемкий , требует предварительной оценки рисков информационной безопасности и формирования требований по защите и реализации подсистеме обеспечения информационной безопасности .

Необходимо разработать правила безопасной удаленной работы , ознакомить с данными правилами сотрудников и проинформировать их о вероятных способах кибератак .

Взломать домашний компьютер сотрудника технически проще , чем рабочий