Home Security Maak van een ‘Remote Desktop Protocol’ geen ‘Ransomware Deployment Protocol’!

Maak van een ‘Remote Desktop Protocol’ geen ‘Ransomware Deployment Protocol’!

G DATA CyberDefense -
27
dainamics

Het zal niemand verbazen dat ransomware één van de grootste cyberdreigingen is. Dit blijkt ook uit een recent rapport van het Europees Agentschap voor cyberbeveiliging (ENISA). Volgens het ENISA komen ransomware aanvallen vaak voort uit brute-force aanvallen die zich richten op het Remote Desktop Protocol (RDP). RDP stelt zowel medewerkers als leveranciers in staat om op afstand te werken in de bedrijfsomgeving.

Het is een applicatie-communicatieprotocol waarmee een gebruiker verbinding kan maken met een externe Windows-computer of -server en de grafische interface van het besturingssysteem kan gebruiken. Hierdoor kunnen gebruikers bijvoorbeeld op afstand via een extern bureaublad technische ondersteuning geven,  verbinding maken met een werkcomputer vanuit huis of interne IT-support geven aan thuiswerkend personeel. Het is ontwikkeld door Microsoft en gebruikt standaard poort 3389. Een RDP-verbinding met een extern endpoint vindt plaats nadat je een set geldige inloggegevens hebt ingevoerd.

Hoewel aanvallen op RDP servers al een tijdje bestaan, zien we dat cybercriminelen steeds vaker misbruik maken. Deze toename is met name te verklaren doordat steeds meer mensen thuiswerken vanwege COVID-19. Binnen de securitywereld noemen ze het soms gekscherend ook wel het ‘Ransomware Deployment Protocol’.  Bij brute-force aanvallen richten cybercriminelen zich meestal op de inloggegevens. Met behulp van lijsten met gelekte gebruikersnamen en wachtwoorden proberen cybercriminelen langs die weg op een geautomatiseerde manier de toegang tot een systeem te forceren. Op deze manier kunnen ze vervolgactiviteiten, zoals ransomware, installeren. Brute-force aanvallen duren meestal een aantal dagen. Hierdoor kunnen de cybercriminelen voorzichtig te werk gaan, om te vermijden dat hun IP-adressen worden geblokkeerd door een firewall. In plaats van in één keer duizenden inlogcombinaties te proberen, worden een kleiner aantal combinaties per uur getest, waardoor de aanvallen langer duren, maar het risico op detectie lager ligt.

Brute-force aanvallen voorkomen

Om brute-force aanvallen te voorkomen is het belangrijk om RDP poorten niet open te laten. Beperk daarnaast ook het aantal inlogpogingen. Als een account na bijvoorbeeld drie mislukte pogingen enkele uren wordt geblokkeerd, dan is de kans groot dat cybercriminelen afhaken. Om te voorkomen dat cybercriminelen na een tijdelijke blokkering terugkomen, is het ook mogelijk om accounts af te sluiten na een aantal mislukte inlogpogingen. Is het account van een medewerker afgesloten? Dan moet hij contact opnemen met de IT-afdeling om het weer te openen. Daarnaast is het verstandig om alle accounts die kunnen inloggen goed in de gaten te houden en te beheren. Als accounts met veel rechten die niet meer worden gebruikt meteen worden verwijderd, kan hier geen misbruik van worden gemaakt.

Het belangrijkste is om daarnaast zoveel mogelijk gebruik te maken van multi-factor authenticatie (MFA). Dwing daarnaast ook het aanmaken van sterke wachtwoorden af. MFA is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per loginsessie aanpast. Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm of via een app zoals Authy, Google Authenticator of RSA SecureID. Vergeet niet om een sterk wachtwoord te gebruiken. De beste wachtwoorden zijn lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Een praktische oplossing is een password manager. Dit is een programma dat sterke wachtwoorden voor je accounts verzint en inloggegevens kan versleutelen, om deze vervolgens in een digitale kluis te bewaren. MFA kan het beste worden toegepast bij zowel de RDP gateway als de netwerk login. Op deze wijze wordt inloggen een stuk veiliger, want zelfs als je wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen.

Een endpoint oplossing die centraal te beheren is, verhoogt het beveiligingsniveau en de kwaliteit van het autorisatiebeheer. In veel gevallen zijn echter aanvullende maatregelen nodig op het gebied van securitysoftware. Er kunnen bijvoorbeeld whitelisting methodes worden toegepast om het gebruik van ongewenste applicaties te voorkomen. Op deze manier krijgt alleen geautoriseerd personeel toegang tot bepaalde delen van het netwerk. Naast een solide beveiligingsoplossing is het ook belangrijk om te patchen. Een vertraging bij het patchen van bekende kwetsbaarheden verhoogt het risico op een aanval.

Gebruik daarnaast ook altijd een VPN. Dankzij een VPN-verbinding kan een extra beveiligingslaag aan het systeem worden toegevoegd. VPN vereist dat een verbinding wordt gemaakt met het beveiligde privé-netwerk voordat het is gemaakt naar de server. Het beveiligde netwerk wordt vervolgens gecodeerd en gehost buiten de server, waardoor verbindingspogingen van vreemde IP-adressen worden geweigerd. Om te voorkomen dat externe gebruikers toegang krijgen tot alle interne netwerkbronnen doen organisaties er verstandig aan om een RD-gateway te gebruiken. Een RD-gateway biedt een uitgebreid configuratiemodel voor beveiliging waarmee organisaties de toegang tot specifieke interne netwerkbronnen kunnen beheren.

Vaak gebruiken medewerkers apparaten op de verkeerde manier omdat ze de systemen en procedures te omslachtig vinden. Het personeel beseft vaak niet dat securityoplossingen zijn afgestemd met specifieke technologieën of (remote desktop) oplossingen. Als dit niet in balans is kan de veiligheid in gevaar komen. Zorg er daarom voor dat iedereen binnen de organisatie begrijpt waarom bepaalde maatregelen worden genomen en alert en kritisch is over verdachte mails en dat medewerkers niet zomaar vertrouwelijke gegevens doorgeven. Op deze manier kan worden voorkomen dat inloggegevens op straat komen te liggen. Om échte cyberbewustwording te creëren moet cybersecurity een alledaags onderdeel zijn van de organisatie. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Trainings, is hier ideaal voor. Iedere medewerker moet bewust zijn van de risico’s en zijn gedrag willen aanpassen ten behoeve van de cyberveiligheid.

Hoewel bovenstaande maatregelen ervoor kunnen zorgen dat een ‘Remote Desktop Protocol’ geen  ‘Ransomware Deployment Protocol’ wordt voor ransomware aanvallen, zullen organisaties een doelwit blijven. Ransomware aanvallen zullen in complexiteit blijven toenemen en de komende tijd steeds meer impact hebben op de maatschappij. Wees dus zo goed mogelijk voorbereid en beperk zoveel mogelijk de risico’s.


Dirk Cools, Country Manager BeLux en Frankrijk bij
G DATA CyberDefense

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here