RDP remote control biedt onvoldoende bescherming tegen cybercrime

Talloze recente security incidenten tonen dat aan. Remote control stelt IT-professionals in staat om verbinding te maken met desktops en servers, om deze op afstand – en dus sneller en goedkoper – te kunnen beheren. Microsoft's Remote Desktop Protocol (RDP) is voor veel organisaties de daarvoor gebruikte methode. Sinds de introductie van RDP in 1998 - toen Terminal Server genoemd - is het protocol wel verfijnd, maar is de wereld eromheen totaal veranderd.


RDP is ontwikkeld in een periode van gesloten ICT-omgevingen en veilige verbindingen. Tegenwoordig zijn omgevingen opener en verbonden met elkaar en het internet. Cybercriminelen kunnen zo kwetsbaarheden in software en protocollen makkelijker uitbuiten met het verrichten van  cyber-inbraken en -aanvallen. De mogelijke gevolgen zijn ernstig: datalekken, dataverlies en verstoring van de continuïteit. Professionele cybercriminelen zoeken geautomatiseerd naar kwetsbare doelwitten met technisch hoogwaardige tools. Daarnaast is er een levendige markt ontstaan onder cybercriminelen om ongeautoriseerde toegang te krijgen tot systemen. 

 

De nadelen en gevaren van RDP

 

RDP is een gewillig doelwit; het is immers beschikbaar op vrijwel alle Windows-servers, vaak zonder uitgebreide authenticatie-opties en logging. Een kleine greep uit de talloze security-voorvallen met RDP:

 

 

In het vrijwel ieder IT-landschap kan en wil men niet om remote control heen, en met goede reden: de flexibiliteit, kostenbesparing en tijdwinst die remote control oplevert is bijzonder groot. Maar dan moeten organisaties wel kunnen werken op een veilige, verantwoorde manier.

 

Hoe beperk en beheers je remote control risico's?

 

Voor remote control geldt hetzelfde als voor vrijwel alle netwerkapplicaties. Een goede security strategie werkt in lagen, waarbij elke laag een vorm van bescherming biedt bovenop de onderliggende lagen. In de meest basale vorm:

 

Beveilig de lijn

De basis: een veilige verbinding. Denk hierbij aan een correct geconfigureerde TLS-verbinding met een website (het groene slotje) met sterke, veilige cryptografie.

RDP biedt weliswaar standaard een beveiligde verbinding met CredSSP, maar het gebruik van sterkere cryptografie is verre van eenvoudig. CredSSP is ook het component wat getroffen was in de recente ernstige vulnerability CVE-2018-0886.

 

Zorg voor sterke authenticatie

De combinatie gebruikersnaam en wachtwoord (iets wat men weet) is alom bekend. Maar hoe meer factoren, hoe lastiger het cybercriminelen gemaakt wordt. Zorg daarom voor multi-factor authenticatie: naast iets wat men “weet” (gebruikersnaam en wachtwoord), stel als minimumvereiste ook iets wat men “heeft” (bijvoorbeeld toegang tot een vooraf ingesteld e-mailadres of een access token). 

RDP's standaardconfiguratie biedt geen 2FA (two-factor authentication) met tokens.

 

Zorg voor duidelijke autorisatie

Nadat helder is met wie men te maken heeft, moet duidelijk zijn welke bevoegdheden deze persoon binnen het systeem heeft. Daarbij is het “Principle of Least Privilege” het belangrijkste uitgangspunt: een gebruiker moet in basis niet meer kunnen dan noodzakelijk is voor het uitvoeren van diens taak. Dat zelfde geldt voor systeembeheer-accounts.

Of het nu een lokale of remote control login betreft: met RDP kan het account hetzelfde, waardoor verder afschermen van de mogelijkheden van de remote control-sessie praktisch onmogelijk is.

 

Leg goed vast wat er gebeurt

Vastleggen wat er gebeurt - logging - is altijd van belang omdat hiermee kan worden vastgesteld hoe er gebruik gemaakt wordt van een dienst. Uit goede logs kan onder andere opgemaakt worden of er cyberaanvallen hebben plaatsgevonden, zoals het aantal mislukte authenticatiepogingen vanaf een bepaald adres of voor een bepaald account. Met deze informatie in handen kunnen cybercriminelen snel en doeltreffend de pas worden afgesneden.

Context-afhankelijke logging en video-opnames van remote control-sessies: het behoort helaas niet tot de mogelijkheden van RDP.

 

Samen met het gebruik van tools met een bewezen track record op het gebied van veiligheid, dragen deze maatregelen in belangrijke mate bij aan een succesvolle security-strategie. Het is soms goed zoeken, maar met de juiste remote control tools en aanpak verbetert u het beveiligingsniveau van uw organisatie aanzienlijk!

8 Questions to ensure your remote control software is GDPR compliant

The new General Data Protection Regulation is right around the corner, and its impact is not limited within the EU. Essentially any business that ever touches data of European citizens should exercise the same scrutiny over how their remote access tools process personal data.

 

Netop is assisting businesses in making the necessary preparations to comply with GDPR by May 2018. The penalties for failing to do so are nothing to joke about: €20 Million or 4% of the previous year’s worldwide annual turnover and additional compensation. Those are dangerous numbers, so why not ask yourself…

Voldoet uw gebruik van remote control software aan de GDPR?

Veel overheidsorganisaties zijn vorig jaar het slachtoffer geworden van cyberaanvallen. Zoals de nieuwe algemene verordening gegevensbescherming of kortweg AVG (General Data Protection Regulation, GDPR) voorschrijft zijn veel van de datalekken gerapporteerd.

 

Vanaf 25 mei 2018 zal deze verordening op Europees niveau worden gehandhaafd. De AVG heeft invloed op alle organisaties die actief zijn in de EU en persoonlijke gegevens van ingezetenen verwerken.

 


Netop en GDPR

Netop heeft een aantal whitepapers gepubliceerd, dit is een duidelijke over GDPR (AVG) compliancy: Making Remote Support GDPR Compliant: A Complete Guide

Webinar terugkijken

Netop organiseerde met Infosecurity een (engelstalig) webinar op 15 juni over een kijk op de GDPR vanuit remote control perspectief en welke implicaties dit heeft indien u dit in uw organisatie gebruikt..

Het webinar kunt u terugzien na aanmelden bij Infosecurity.

Checklist GDPR

Deze Checklist voor GDPR Compliancy is handig om na te gaan of u aan de GDPR (AVG) vereisten voldoet indien u remote control software gebruikt. Hoe Netop Remote Control aan deze vereisten voldoet wordt specifiek uitgelicht.


WannaCrypt Ransomware - wat doe je ertegen?

Op vrijdag 12 mei 2017 werden allerlei organisaties wereldwijd getroffen door de WannaCrypt-ransomware. Systemen van ziekenhuizen werden uitgeschakeld, autofabrieken stopten de productie, klanten van parkeergarages konden niet betalen, informatieborden van de Duitse spoorwegen werkten niet en er vond zelfs spoedoverleg in het Witte Huis plaats.

 

Op deze pagina geven we een aantal tips om toekomstige besmetting te voorkomen.

Wat is WannaCry - video

In deze blogpost van Sophos staat een uitgebreide analyse van de 'Wanna' ransomware, ook bekend als WannaCry, WCry, WanaCrypt, WanaCrypt0r, en Wanna Decrypt0r.

Hoe zorg ik ervoor dat ik beveiligd blijf?

 

1. Zorg dat alle Windows systemen in uw netwerk bijgewerkt zijn zoals beschreven in Microsoft Security Bulletin MS17-010.

 

2. Whitelist alle kill switch domeinen die gerelateerd zijn aan deze aanval.

 

3. Zorg voor een bijgewerkte versie van uw endpoint software zodat de laatste beveiling voor deze bedreiging actief is.

 

4. Zorg ervoor dat u een geavanceerde anti-ransomware beveilinging zoals  Sophos Intercept X of Sophos Exploit Prevention (EXP) installeert.

 

5. Thuisgebruikers kunnen gebruik maken van Sophos Home Premium beta, die geavanceerde ransomware beveiliging omvat


Heeft u vragen? Neem contact met ons op!

Note: Please fill out the fields marked with an asterisk.

Wat is Ransomware?

Ransomware is software die de bestanden op computers versleutelt en gebruikers om ‘digitaal’ losgeld (bitcoins) – enkele honderden euro’s – vraagt om weer toegang tot de computer te krijgen. Soms werkt dat, maar vaak ook niet. Over WannaCry is niet bekend of betaling tot succes leidt, de verwachting bij de experts is, dat de kans daarop klein is.


Ziekenhuizen, burgers en overheid vaak 'verontrustend' slecht beveiligd tegen digitale aanvallen

Ziekenhuizen, burgers en ook de overheid verdedigen zich vaak 'verontrustend' slecht tegen mogelijke aanvallen van cybercriminelen en buitenlandse inlichtingendiensten. Tegelijkertijd maakt zogeheten ransomware een opmars door: met behulp van speciale software hacken cybercriminelen steeds vaker gemeenten, bedrijven en ziekenhuizen om pas na betaling van losgeld bestanden terug te gegeven.

 

Bron: de Volkskrant - Rapport van Rathenau Instituut

Door gebruik te maken van oplossingen zoals Sophos Endpoint Security en Intercept X kunt u zich goed beschermen tegen dit soort aanvallen.