Po tym, jak Światowa Organizacja Zdrowia oficjalnie ogłosiła w połowie marca zeszłego roku, że mamy do czynienia z pandemią, państwa zaczęły pospiesznie podejmować środki mające na celu powstrzymanie jej rozprzestrzeniania się. Popularnym posunięciem w ramach walki z pandemią było przechodzenie firm na tryb pracy zdalnej. Ponieważ działania te były wykonywane w dużym pośpiechu i często bez uprzedniego przygotowania, wiele firm nie miało czasu na wdrożenie właściwych środków
narażając się na wiele nowych zagrożeń dla cyberbezpieczeństwa. Według badaczy z firmy Kaspersky do najczęstszych należały ataki na protokoły wykorzystywane przez pracowników do uzyskiwania zdalnego dostępu do zasobów firmowych.
Protokół RDP, wykorzystywany do uzyskiwania dostępu do systemu Windows lub serwerów, stanowi prawdopodobnie najpopularniejszy mechanizm zdalnego pulpitu. Gdy pracownicy przeszli na pracę zdalną, liczba ataków siłowych na ten protokół błyskawicznie wzrosła. W ramach takich działań atakujący wypróbowują różne nazwy użytkowników oraz hasła, dopóki nie trafią na poprawną kombinację – i uzyskają dostęp do zasobów firmowych.
Na przestrzeni minionego roku liczba ataków siłowych wahała się, jednak w porównaniu z okresem sprzed pandemii nastąpił wyraźny wzrost.
Według telemetrii firmy Kaspersky, gdy w marcu 2020 r. na całym świecie wprowadzano lockdowny, liczba ataków siłowych na protokoły RDP wzrosła z 93,1 mln w lutym 2020 r. do 277,4 mln w marcu 2020 r. — czyli o 197 proc. Od kwietnia 2020 r. miesięczna liczba takich ataków nigdy nie spadła poniżej 300 milionów, a w listopadzie wynosiła 409 milionów, ustanawiając nowy światowy rekord. W lutym 2021 r., niemal rok od wybuchu pandemii, odnotowano 377,5 mln ataków — nieporównywalnie więcej niż rok wcześniej.
– Praca zdalna prawdopodobnie zostanie z nami na dłużej. Rozważając ponowne otwarcie biur, wiele firm deklarowało, że pozostawi taki model pracy lub wprowadzi model hybrydowy. To oznacza, że ataki siłowe na protokoły zdalnego dostępu nadal będą przeprowadzane na dużą skalę. Rok 2020 dobitnie pokazał, że firmy koniecznie muszą uaktualnić swoją infrastrukturę bezpieczeństwa. Warto zacząć od zapewnienia mocniejszej ochrony dostępu do protokołu RDP – powiedział Dmitrij Gałow, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające uchronić firmy przed atakami siłowymi na protokół RDP:
- Wprowadź dostęp do RDP za pośrednictwem firmowego połączenia VPN.
- Wprowadź stosowanie uwierzytelniania Network Level Authentication (NLA) podczas zdalnego łączenia się z zasobami firmowymi.
- W miarę możliwości stosuj uwierzytelnianie wieloskładnikowe.
- Stosuj rozwiązanie bezpieczeństwa korporacyjnego wzbogacone o ochronę przed zagrożeniami sieciowymi, takie jak np. Kaspersky Endpoint Security for Business.