Nadie se despierta pensando "hoy es el día en que voy a ser hackeado". Pero, las preocupaciones de una violación de seguridad probablemente tienen un peso importante en la mente de muchos profesionales de TI, propietarios y ejecutivos de negocios.
La semana pasada, Microsoft advirtió al público de cuatro nuevas vulnerabilidades de Windows que son "Wormable", lo que significa que pueden ser explotadas para propagar malware de una computadora vulnerable a otra sin ninguna acción del usuario. Esto viene de la mano de la ya notoria vulnerabilidad BlueKeep RDP, que se divulgó públicamente hace solo unos meses.
Estos últimos errores, ya parcheados por Microsoft, residen en los Remote Desktop Services (RDS), que permiten al usuario tomar el control de una computadora remota o máquina virtual a través de la conexión a una red. Este tipo de vulnerabilidades dentro del RDP puede tener importantes implicaciones de seguridad para aquellas organizaciones que dependen de él.
Hoy en día, es muy común que las empresas utilicen RDP como método para acceder a los servidores, colaborar con otros empleados y acceder de forma remota a los documentos almacenados y respaldados en su oficina. Los ciberdelincuentes han desarrollado una amplia gama de herramientas para buscar continuamente puntos de acceso remoto en Internet y descubrir objetivos potencialmente vulnerables, como las debilidades que Microsoft anunció. Según el FBI y el DHS, los ataques RDP han ido en aumento desde 2016, y los atacantes utilizan un puerto RDP abierto para hacerse cargo de las máquinas e inyectar varios tipos de malware en el sistema al que se acede de forma remota.
En este blog, cubriré un par de formas importantes en que las soluciones BeyondTrust pueden ayudarle a mejorar la seguridad del acceso remoto y eliminar vetores de amenazas peligrosas, así como proteger mejor las sesiones RDP.
1. Control de privilégios y sesiones en todos los puntos de acceso remoto
La plataforma de administración de accesos privilegiados (PAM) de BeyondTrust le permite aplicar controles de restrición de privilegios, impor mejores prácticas de administración de contraseñasy aplicar otros controles de seguridad para ayudar a proteger su RDP.
BeyondTust permite la gestión segura de sesiones, con la capacidad de acceso proxy a aplicaciones RDP, SSH y Windows / Unix / Linux. La asignación dinámica de privilegios just-in-timea través de Adaptive Workflow Control, permite a las organizaciones bloquear el acceso a los recursos según el día, la fecha, la hora y la ubicación. Al limitar el alcance a parámetros de tiempo de ejecución específicos, reduce la ventana de oportunidad en la que alguien podría estar explotando credenciales malversadas. Por ejemplo, si normalmente espera que el administrador (o un proveedor externo) inicie sesión desde sistemas particulares, puede asegurarse de que el acceso solo se permita desde rangos de direcciones permitidos y predefinidos. Del mismo modo, puede configurar políticas para controlar cuándo se puede acceder a las cuentas y alertar cuando se invocan políticas de acceso específicas.
Además de sus controles de acceso granular, BeyondTrust se asegura de la rotabilidad regular de las contraseñas de las cuentras administradas. Para las cuentas más sensibles, puede implementar contraseñas de un solo uso, lo que significa que se cambia en cada utilización. Por lo tanto, si alguien obtiene acceso de forma ilícita a las credenciales de la sesión RDP, la contraseña se habría cambiado después del último uso, lo que haría que la credencial fuera inútil e impidiera el acceso. Este enfoque mitiga el riesgo de acceso no autorizado.
2. Mejore la seguridad en torno a las sesiones de soporte remoto
BeyondTrust también proporciona la solución de soporte remotomás segura del mercado.
La integración de Remote Desktop de BeyondTrust le permite bloquear RDP en su organización y proporcionar una solución segura y centralizada de acceso remotocon funciones sólidas de auditoría y colaboración.
La integración de Remote Desktop aprovecha nuestra tecnología Jumpoint. Un Jumpoint es básicamente una conexión a un host remoto, que, a su vez, se utiliza para conectarse a otros hosts. Esta es una gran herramienta para acceder a una red privada.El usuario simplemente se conecta a través de un host Jump, y todo está seguro y bloqueado. Una vez que se ha instalado un Jumpoint en una red remota, un usuario autorizado puede aprovechar el Jumpoint para iniciar sesiones con computadoras Windows en esa misma red, incluso si esas computadoras están desatendidas.
Un Jumpoint se puede usar para iniciar:
• Una Sesión de soporte estándar
• Una Sesión de protocolo de escritorio remoto
• Una Sesión de VNC
• Un Shell Jump a un dispositivo de red habilitado para SSH
• Un Shell Jump a un dispositivo de red habilitado para Telnet
• Una Sesión del sistema Intel® vPro Windows
Las sesiones de soporte, las sesiones RDP y las sesiones VNC también se pueden iniciar con sistemas en el mismo segmento de red.
El Jumpoint actúa como el corredor de RDP. Con Remote Support, puede asignar permisos RDP para usuarios y equipos. Jumpoint solo permitirá el acceso RDP a los usuarios y equipos autorizados. Las organizaciones pueden restringir la instalación y el uso de clientes RDP en su entorno, mientras configuran sus hosts RDP para que solo acepten conexiones desde Jumpoint. Una vez que se implementan esos cambios, la consola de técnico de Windows, Mac, iOS, Android o Linux de la solución son las únicas aplicaciones que se pueden usar para el acceso RDP.
¿Como funciona? Estos son los pasos clave:
1. Un administrador de soporte remoto autoriza el acceso RDP para un técnico o equipo de soporte
2. Un técnico inicia una sesión RDP a través de un Jumpoint
3. El punto final RDP solo acepta conexiones RDP entrantes desde el Jumpoint
4. El Jumpoint corre la solicitud del punto final RDP al técnico
5. Opcionalmente, el técnico puede compartir y / o transferir la sesión con otros técnicos.
6. Los detalles de la sesión RDP, como el nombre del técnico, el nombre del punto final, la fecha, la hora y más, se auditan en el dispositivo BeyondTrust
7. Las sesiones de RDP se graban con fines de auditoría / cumplimiento
PDR con colaboración
Una de las potentes funciones de la solución de soporte remoto de BeyondTrust es la capacidad de colaborar con otros técnicos de Service Desk. Con la integración RDP de Remote Support, puede invitar a otros técnicos de Service Desk a una sesión de soporte, o incluso transferirles una sesión. Es una herramienta valiosa y que ahorra tiempo para tener en su arsenal.
Una vez que se inicia una sesión RDP a través del Soporte remoto, también tiene la capacidad de transferir o compartir esas sesiones con otros técnicos de soporte remoto, incluso aquellos que ejecutan la versión Mac, Linux, Android o iOS de la Consola de técnico de soporte remoto. RDP, me gustaría que conozcas colaboración. Este aspecto se ha demorado en llegar.
Próximos pasos para asegurar su RDP y acceso privilegiado
Con la integración RDP de BeyondTrust, es fácil proporcionar detalles sobre quién accedió a qué máquina Windows, cuándo tuvo lugar, a qué accedieron y cuánto tiempo estuvieron conectados mientras usaban RDP. Nuestras soluciones simplifican su camino hacia el cumplimiento al proporcionar pistas completas de auditoría, análisis forense de sesiones y otras características de informes enriquecidos.
Para una inmersión más profunda en los riesgos de seguridad de RDP y cómo abordarlos com una administración de accesos privilegiados, consulte el seminário web RDP: Privileged Access 'Worst Enemy', con Nick Cavalancia de TechVangelishm.
Y, si desea comprender mejor cómo BeyondTrust puede ayudarle a proteger RDP y abordar otros desafíos de acceso remoto y acceso privilegiado, contacte con nosotros.