A maior ameaça que o acesso remoto representa: expor o seu servidor na Internet
O aumento do trabalho a partir de casa popularizou o acesso remoto ao local de trabalho da empresa. Embora o trabalho à distância aumente a produtividade e facilite algumas operações, pode também ser a porta de entrada que os cibercriminosos têm estado à espera. De acordo com o último Verizon Data Breach Investigations Report de 2022, o uso indevido do acesso remoto é o quarto vetor de ataque inicial mais comum.
A questão-chave com o Remote Desktop Protocol (RDP) é que a forma como está configurado significa que é acessível através da Internet. Os criminosos procuram servidores RDP na Internet e normalmente não têm qualquer problema em encontrá-los. Um motor de busca concebido para localizar dispositivos com portas ou protocolos expostos na Internet encontrou mais de quatro milhões de portas RDP expostas. Recentemente, circularam notícias de mais de 8.000 dispositivos de computação de rede virtual (VNC, na sigla original) expostos que permitem o acesso à rede sem necessidade de autenticação. A parte mais preocupante é que muitos deles pertencem a organizações de infraestruturas críticas.
Os grupos de cibercriminosos, como o grupo de ransomware Conti, utilizaram este vetor de ataque para implantar ransomware nas redes das suas vítimas. O ataque Colonial Pipeline levado a cabo pelo grupo DarkSide é outro exemplo de como o acesso remoto pode tornar-se um grande problema. Neste caso, os hackers conseguiram perpetrar um dos maiores ciberataques dos últimos anos, explorando uma palavra-passe exposta para a VPN da empresa.
Quais são os riscos associados a servidores mal configurados que estão expostos a ataques do RDP?
Há três métodos principais que os hackers utilizam para atingir empresas: ataques de negação de serviço (DDoS), ransomware e quebras de dados.
- Ataque DDoS: Os servidores RDP podem amplificar este tipo de ameaça com um fator de amplificação de 85,9, o que significa que os hackers podem utilizar indevidamente estes serviços para direcionar quantidades massivas de tráfego para os seus alvos, fazendo colapsar o serviço.
- Implementação de Ransomware: Os cibercriminosos invadem a rede de uma organização através do RDP, depois fazem um scan a partir do interior e colocam ransomware em sistemas de elevado valor. Este mecanismo foi o método de entrega de resgates mais comum em 2020.
- Falha de segurança de dados: Uma vez dentro da rede, os criminosos deslocam-se lateralmente para exfiltrar os dados-chave da empresa, quer para os vender, quer para exercer pressão. Em certas ocasiões, os hackers roubam dados enquanto os encriptam com ransomware.
Podem ser aplicadas medidas básicas de prevenção, baseadas em bons hábitos de "ciber-higiene" na configuração da rede. Por exemplo, existem várias opções para proteger o acesso RDP num servidor Windows, incluindo a limitação do acesso via IP, a ligação ao servidor via VPN ou a mudança de portas RDP.
As seguintes medidas preventivas e proactivas para detetar e abordar o acesso remoto e outras técnicas de intrusão devem ser destacadas pela sua eficácia e alinhamento com uma conceção de confiança zero:
- MFA: Na maioria dos casos, os servidores com acesso público à Internet RDP não permitem a autenticação multifatorial (MFA). Isto significa que os hackers podem entrar na rede simplesmente introduzindo o endereço IP do dispositivo a que pretendem aceder.
- VPN: Ao utilizar uma VPN, a solução cria um túnel encriptado para o tráfego de rede entre o utilizador remoto e a rede corporativa. As VPN podem também suportar MFA para mitigar a ameaça de contas comprometidas. No entanto, é importante notar que as VPN podem ser vulneráveis se não forem atualizadas ou corrigidas regularmente.
- Registos de acesso remoto: Como medida adicional, é necessário manter um histórico de login e auditoria para utilizadores remotos. Isto é a primeira coisa a verificar se houver uma suspeita de que a rede tenha sido comprometida.
- Segurança EDR (Deteção e Resposta de Endpoint): A implementação de uma solução capaz de detetar o uso indevido de tentativas de acesso RDP e de lidar com estas ameaças avançadas é primordial quando se trata de proteger servidores ou dispositivos numa organização.
A importância da deteção e da resposta
Ao estabelecer um acesso remoto seguro, é fundamental assegurar que os endpoints sejam protegidos contra tentativas de intrusão, como os ataques living-off-the-land, que podem escapar às soluções de segurança convencionais. As organizações que implementam uma solução abrangente, que protege os seus dispositivos utilizando um modelo de Zero-trust que proporciona uma proteção adicional em camadas, ganharão uma vantagem significativa. A este respeito, o WatchGuard EPDR protege tanto PCs e portáteis, como servidores, combinando proteção contra malware e ataques não baseados em malware. Utilizando o componente EDR, a WatchGuard monitoriza continuamente os endpoints e utiliza inteligência artificial para classificar os vários processos de execução e classificá-los como malware ou de confiança, permitindo apenas que os processos de confiança sejam executados nos dispositivos e bloqueando os executados por um intruso utilizando o acesso RDP aos dispositivos. Além de ser capaz de identificar um ataque RDP, a solução pode prevenir incidentes, bloqueando o tráfego de endereços IP a partir dos quais são detetados ataques de força bruta a servidores RDP expostos, o que significa que o ataque é contido antes da obtenção das credenciais de acesso de força bruta.
Além disso, o serviço de threat hunting, incluído por defeito nas soluções WatchGuard EDR e WatchGuard EPDR, frustra as tentativas dos hackers de explorar o acesso vulnerável ao RDP, uma vez que o serviço irá analisar proactivamente qualquer atividade suspeita em busca de técnicas de evasão e padrões de comportamento anómalos, a fim de evitar, entre outras coisas, que o acesso remoto se torne um pesadelo para as organizações.