Das SANS Institute hat über die eigenen Systeme einen Anstieg von Angriffen auf Remote Desktop Protocol (RDP) analysiert. Die Suchmaschine Shodan zeigt gleichzeitig eine Zunahme von exponierten RDP-Servern im Monat März. Die Ergebnisse deuten auf ein Risiko für Unternehmen hin, die aufgrund des COVID-19-Ausbruchs schnell auf Telearbeit per RDP umgestellt haben.
Die Ergebnisse für März sind besorgniserregend, da sie auch mit der massiven Zunahme von Unternehmen weltweit zusammenfallen. Aufgrund der raschen Ausbreitung von COVID-19 mussten sie ihre Büros schließen und ihren Mitarbeitern die Möglichkeit geben, von zu Hause aus zu arbeiten. Allerdings ist zu befürchten, dass einige Unternehmen und Behörden den Zugriff auf vertrauliche Systeme im öffentlichen Internet ermöglicht haben, ohne diese abzusichern.
Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute, berichtet: „Die Anzahl der Quell-IP-Adressen, die von Angreifern verwendet werden, um das Internet nach RDP zu durchsuchen, stieg im März um etwa 30 Prozent. Das ist eine Erhöhung von durchschnittlich 2.600 angreifenden IP-Adressen auf etwa 3.540 pro Tag in den absoluten Zahlen. RDP ist kein Protokoll, das robust genug ist, um dem Internet ausgesetzt zu werden.“
„Infolgedessen sehen wir jetzt Angreifer, die aktiv mit schwachen Zugangsdaten handeln, die sie für diese RDP-Server identifiziert haben. Ein kompromittierter RDP-Server kann zu einer vollständigen Kompromittierung des exponierten Systems führen und wird wahrscheinlich dazu benutzt werden, weitere Systeme innerhalb des Netzwerks anzugreifen und auszunutzen.“
Das Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Protokoll mit grafische Oberfläche, um über eine Netzwerkverbindung eine Verbindung zu einem anderen Computer herzustellen. Es ist eine kostengünstige und einfache Möglichkeit für Unternehmen, Mitarbeitern das Arbeiten aus der Ferne zu ermöglichen. Der Benutzer verwendet zu diesem Zweck RDP-Client-Software, während auf dem anderen Computer RDP-Server-Software ausgeführt werden muss.
Unternehmen, die RDP implementiert haben, rät Ullrich: „Verwenden Sie eindeutige, lange und zufällige Kennwörter, um Ihre RDP-Server zu sichern, und bieten Sie nach Möglichkeit nur Zugriff über ein VPN. Microsoft bietet auch RDP-Gateways an, mit dem sich starke Authentifizierungsrichtlinien implementieren lassen.“
„Sie können versuchen, den Zugriff auf RDP von bestimmten IP-Adressen aus einzuschränken, wenn Sie im Moment nicht in der Lage sind, ein VPN zu implementieren. Dies kann jedoch schwierig sein, wenn Ihre Administratoren derzeit von zu Hause aus mit dynamischen IP-Adressen arbeiten.“
„Eine andere Möglichkeit ist die Verwendung eines Cloud-Servers als Ausgangsbasis“, führt Ullrich aus. „Stellen Sie den Cloud-Server auf eine Whitelist und verwenden Sie sichere Protokolle wie SSH, um sich mit dem Cloud-Server zu verbinden. Diese Technik kann als Schnelllösung funktionieren, wenn Sie keine Ausfallzeiten riskieren wollen, während alle Mitarbeiter aus der Ferne arbeiten.“
Das Coronavirus hat Unternehmen und Behörden auf der ganzen Welt dazu veranlasst, ihre Belegschaft vom Büro ins Home Office zu schicken. Allerdings fehlen vielen Organisationen die Richtlinien, Ressourcen oder Schulungen, um ihre Mitarbeiter in die Lage zu versetzen, dies sicher zu tun. Aus diesem Grund bietet das SANS Institute seit dem 16. März das Deployment Kit “Securely Working from Home” kostenlos an.
Das Kit bietet Unternehmen eine Schritt-für-Schritt-Anleitung, wie sie schnell ein Schulungsprogramm für ihre Mitarbeiter an entfernten Standorten einrichten können. Alle Schulungsmaterialien und -ressourcen, die zur Absicherung einer mehrsprachigen Remote-Belegschaft erforderlich sind, sind in dem Kit enthalten.