TM_172

8 15|11|2022 #172 Η αύξηση της τηλεργασίας έχει παγιώσει την ανάγκη εξ αποστάσεως πρόσβασης στον χώρο εργασίας και τα δεδομένα της εταιρείας. Αυτό ενδέχεται να αποτελέσει την ευκαιρία που περίμεναν οι εγκλη- ματίες του κυβερνοχώρου. Σύμφωνα με την πιο πρόσφατη Έκθεση διερεύνησης των περιπτώσεων παραβίασης δεδο- μένων της Verizon για το 2022, η λάθος χρήση της απομακρυσμένης πρόσβασης αποτελεί την τέταρτη πιο συνηθισμένη «πόρτα» που χρησιμοποιούν οι δράστες προκειμένου να υποκλέψουν δεδομένα. Το βασικό πρόβλημα για το πρωτόκολλο απομακρυσμένης εργασίας (RDP) είναι ότι ο τρόπος με τον οποίο έχει διαμορ- φωθεί το καθιστά προσβάσιμο μέσω του Διαδικτύου. Οι εγκληματίες ψάχνουν στο Διαδίκτυο για διακομιστές RDP και συνή- θως δεν δυσκολεύονται να τους βρουν. Μια μηχανή αναζήτησης που έχει σχεδι- αστεί για την παρακολούθηση συσκευών με εκτεθειμένες θύρες ή πρωτόκολλα στο Διαδίκτυο έχει βρει περισσότερες από τέσσερα εκατομμύρια εκτεθειμένες θύρες RDP. Πρόσφατα, κυκλοφόρησαν ειδήσεις για περισσότερες από 8.000 εκτεθειμένες συσκευές εικονικού δικτύ- ου υπολογιστών (VNC) που επιτρέπουν την πρόσβαση στο δίκτυο χωρίς να απαι- τείται έλεγχος ταυτότητας. Το πιο ανησυ- χητικό είναι ότι πολλά από αυτά ανήκουν σε εταιρείες ζωτικής σημασίας. Ομάδες κυβερνοεγκληματιών, όπως η ransomware Conti, έχουν αξιοποιήσει αυτόν τον τρόπο επίθεσης για να ανα- πτύξουν ransomware στα δίκτυα των θυ- μάτων τους. Η επίθεση Colonial Pipeline που πραγματοποιήθηκε από την ομάδα DarkSide είναι ένα άλλο παράδειγμα του πώς η απομακρυσμένη πρόσβαση μπο- ρεί να μετατραπεί σε μεγάλο κενό ασφα- λείας. Σε αυτή την περίπτωση, οι hackers κατάφεραν να διαπράξουν μια από τις μεγαλύτερες κυβερνοεπιθέσεις των τε- λευταίων ετών, εκμεταλλευόμενοι έναν εκτεθειμένο κωδικό πρόσβασης για το VPN της εταιρείας. Σύμφωνα με τη ν Data Ally υπάρχουν τρεις κύριες μέθοδοι που χρησιμοποιούν οι hackers για να στοχεύσουν εταιρείες: Επιθέσεις DDoS: Οι διακομιστές RDP μπορούν να ενισχύσουν αυτόν τον τύπο απειλής με συντελεστή ενίσχυσης 85.9, πράγμα που σημαίνει ότι οι hackers μπο- ρούν να κάνουν κατάχρηση αυτών των υπηρεσιών για να κατευθύνουν έναν τεράστιο όγκο επισκεψιμότητας στους στόχους τους, κάνοντας έτσι την υπηρε- σία να καταρρεύσει. Ανάπτυξη ransomware: Οι φορείς απει- λών εισβάλλουν στο δίκτυο ενός οργα- νισμού μέσω του RDP, στη συνέχεια το σαρώνουν από το εσωτερικό και τοποθε- τούν ransomware σε συστήματα υψηλής αξίας. Αυτός ο μηχανισμός ήταν ο πιο κοινός τρόπος κυβερνοεπίθεσης μέσω ransomware για το 2020. Παραβίαση δεδομένων: Μόλις εισέλ- θουν στο δίκτυο, οι εγκληματίες κινού- νται για να διεισδύσουν στα βασικά δεδομένα της εταιρείας, είτε για να τα πουλήσουν είτε για να εκβιάσουν τις δι- οικήσεις. Σε ορισμένες περιπτώσεις, οι hackers κλέβουν δεδομένα, ενώ τα κρυ- πτογραφούν με ransomware. Προκειμένου οι εταιρείες να προστα- τεύσουν τον εαυτό τους μπορούν να εφαρμόσουν ορισμένα προληπτικά πρωτόκολλα και μέτρα ασφαλείας. Για παράδειγμα, υπάρχουν πολλές επιλογές για την προστασία της πρόσβασης RDP σε έναν διακομιστή Windows, συμπε- ριλαμβανομένου του περιορισμού της πρόσβασης μέσω IP, της σύνδεσης στον διακομιστή μέσω VPN ή της αλλαγής θυ- ρών RDP. • MFA: Στις περισσότερες περιπτώσεις, οι διακομιστές με δημόσια πρόσβαση στο Διαδίκτυο RDP δεν ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγό- ντων (MFA). Αυτό σημαίνει ότι οι hackers μπορούν να μπουν μέσα στο δίκτυο εισάγοντας απλώς τη διεύθυνση IP της συσκευής στην οποία θέλουν να έχουν πρόσβαση. • VPN: Με τη χρήση ενός VPN, δημιουρ- γείται μια κρυπτογραφημένη σήραγγα για την κυκλοφορία δικτύου μεταξύ του απομακρυσμένου χρήστη και του εται- ρικού δικτύου. Τα VPN μπορούν επίσης να υποστηρίξουν MFA για τον μετριασμό της απειλής παραβιάσεων λογαριασμών. Ωστόσο, είναι σημαντικό να σημειωθεί ότι τα VPN μπορεί να είναι ευάλωτα εάν δεν ενημερώνονται ή δεν επιδιορθώνο- νται τακτικά. •Αρχεία καταγραφής απομακρυσμέ- νης πρόσβασης: Ως πρόσθετο μέτρο, είναι απαραίτητο να διατηρηθεί ιστορικό σύνδεσης και έλεγχος για απομακρυσμέ- νους χρήστες. • Ασφάλεια EDR (ανίχνευση και από- κριση τελικού σημείου): Η ανάπτυξη μιας λύσης ικανής να ανιχνεύει προσπά- θειες πρόσβασης RDP και να αντιμετω- πίζει αυτές τις προηγμένες απειλές είναι πρωταρχικής σημασίας κατά την προ- στασία διακομιστών ή συσκευών σε μια εταιρεία. Data Ally: Οι απειλές κατά τον εξ αποστάσεως έλεγχο πρόσβασης