Volgens het '2020 Internet Crime Report' van de FBI was er tussen 2018 en 2020 een stijging van zestig procent in het aantal ransomware-meldingen. En de schade kan flink zijn. Zo was recentelijk het Amerikaanse Colonial Pipeline slachtoffer van cybercriminelen, met als resultaat een afgesloten pijplijn langs de Amerikaanse oostkust en enorme rijen bij tankstations uit angst voor benzine- en diesel-schaarste. Het is vooralsnog onduidelijk hoe deze criminelen toegang hebben gekregen tot de omgeving van Colonial Pipeline en hoe zij hier malware in hebben kunnen bouwen.
Het genoemd rapport stelt dat phishing via e-mail en blootgestelde remote desktop protocol (rdp)-servers de twee grootste bedreigingen voor ransomware-aanvallen zijn. Rdp is de populairste technologie om verbinding te maken met systemen op afstand. Het wordt over het algemeen beschouwd als een veilig hulpmiddel wanneer het binnen een privénetwerk wordt gebruikt. Daarom wordt het tegenwoordig, als gevolg van de coronapandemie, door veel bedrijven gebruikt.
Wanneer rdp-poorten echter open worden gelaten op internet en toegankelijk zijn met eenvoudige wachtwoorden, kunnen ze ernstige beveiligingsproblemen veroorzaken. Er zijn miljoenen computers met blootgestelde rdp-poorten online zonder enige bescherming. Hierdoor is rdp aantrekkelijk voor malafide cyberactiviteiten, en in toenemende mate ransomware-aanvallen. Bovendien wordt het criminelen nóg makkelijker gemaakt: deze toegangspunten zijn gratis te vinden op zogenaamde rdp-markten. Zodra aanvallers toegang hebben tot het systeem, kunnen ze malware inbouwen en schadelijke activiteiten uitvoeren.
Vier tips…
Bij beide soorten bedreigingen krijgen de aanvallers toegang tot persoonlijke inloggegevens. Dus hoe voorkomen organisaties dat ze slachtoffer van een ransomware-aanval worden? De volgende vier tips zijn nuttig voor het beveiligen van rdp-servers:
- Publiceer geen onbeveiligde remote desktops op internet
Mocht dit toch noodzakelijk zijn, zorg er dan voor dat het rdp-toegangspunt beveiligd is met multi-factorauthenticatie (mfa). Op deze manier hebben alleen geautoriseerde gebruikers toegang.
- Gebruik rdp-poorten
Remote desktops moeten achter reverse proxy-poorten beschermd worden om de standaard-rdp-poort 3389 uit het zicht te houden. Je hebt toegang tot rdp-poorten via https-verbindingen (poort 443), die weer beveiligd worden via het tls-encryptieprotocol.
- Pas mfa toe voor toegang tot de rdp-poorten
Zelfs de sterkste wachtwoorden kunnen gecompromitteerd worden. Daarom biedt mfa een extra beschermingslaag door gebruikers te verplichten om minstens twee vormen van authenticatie te bieden wanneer ze willen inloggen op een rdp-sessie.
- Pas mfa toe bij het inloggen op het netwerk
Ook binnen de remote desktop is het verstandig om een extra beveiligingslaag te implementeren. Dit kun je doen door mfa toe te passen op het netwerkloginpunt.
… en vier maatregelen
En hanteer deze vier maatregelen ter bescherming tegen phishing:
- Elimineer het gebruik van wachtwoorden
Access management en authenticatie zijn zeer effectief bij het beschermen van e-mailaccounts. E-mailservers bevinden zich steeds vaker in de cloud. Wanneer zakelijke gebruikers zich buiten de grenzen van een bedrijfsdatacenter aanmelden, zijn een eenvoudige gebruikersnaam en wachtwoord vaak de enige bescherming tussen een kwaadwillend en zakelijk e-mailaccount. Door voorwaardelijke toegang toe te passen, het gebruik van wachtwoorden te elimineren en sterke authenticatie af te dwingen, wordt de kans verkleind dat de inloggegevens voor e-mailaccounts in de verkeerde handen vallen.
- Pas de e-mail-loginpagina aan, zodat werknemers deze gemakkelijk kunnen herkennen
Maak hiervoor gebruik van identity provider (idp) en access management. Op die manier kunnen medewerkers de legitieme aanmeldingspagina meteen herkennen en raken ze niet in de war bij het zien van een vervalste pagina.
- Zorg voor toegangsbeveiliging in de gehele omgeving, zowel in de cloud als on-premise
Rdp-servers bevinden zich meestal on-premise; e-mailaccounts meestal in de cloud. Om maximale bescherming te garanderen, is het belangrijk dat sterke en multi-factor authenticatie uniform wordt toegepast. Veel organisaties zijn bang dat dit nadelige gevolgen heeft voor het gemak en de inlogervaring van gebruikers. Deze vorm van toegang is daarentegen zo ontworpen dat authenticatie alleen wordt afgedwongen wanneer nodig.
- Verklein het bedreigingsoppervlak
Zorg ervoor dat je je eigen toegangsbeveiliging controleert en dat deze gescheiden is van applicaties en servers die dit moeten beschermen. Recent is namelijk aangetoond dat malware, eenmaal ingebed in een netwerk, is ontworpen om alle aangesloten systemen te infecteren. Door de toegangsbeveiliging en authenticatie te scheiden, beperk je dus de risico’s en aantasting van identiteiten.
Frontlinie
Bovenstaande richtlijnen moeten hand in hand gaan met beveiligingstraining voor werknemers. Het zero-trust-concept – ‘never trust, always verify’ – zou voor ons allemaal de standaard moeten zijn, voor alles omdat identiteiten nu de frontlinie van de beveiliging vormen. We moeten altijd de integriteit van inkomende e-mails controleren, links dubbel controleren voordat we erop klikken en oppassen voor onbekende afzenders.
Auteur: Ignacio Berrozpe, sales engineer manager Benelux Region bij Thales Cloud Security
