Remote Desktop Protocol – wat het is en waarom het niet veilig is
Remote Desktop Protocol (RDP) is een Microsoft protocol dat is ontworpen om op afstand verbinding te maken met een andere computer.
RDP wordt geleverd met een aantal zeer handige functies, waaronder het delen van schermen en de mogelijkheid om volledige bediening van een apparaat over te geven aan een IT-expert die op afstand technische assistentie biedt aan een gebruiker.
Hoewel deze technologie nu wereldwijd door miljoenen mensen wordt gebruikt, zijn er steeds meer zorgen over de cybersecurity, namelijk dat het wordt gebruikt als aanvalsmogelijkheid voor ransomware.
Volgens Kaspersky, waren er alleen al begin 2021 meer dan 377,5 miljoen brute-force aanvallen gericht op RDP. En vorig jaar was niet beter. RDP-aanvallen groeiden van 91,3 miljoen in januari tot meer dan 277,4 miljoen alleen al in maart 2020. Dat is een stijging van 197% in 3 maanden!
Gezien zo'n gevaarlijke toename van ransomware aanvallen gericht op RDP, is het tijd voor bedrijven - vooral die met informatietechnologie (IT) omgevingen die vertrouwen op RDP - om hun vertrouwen in dit inmiddels tientallen jaren oude remote access protocol te heroverwegen.
Waarom is RDP zo onveilig en steeds vaker het doelwit van cybercriminelen?
We vroegen een paar deskundigen op het gebied van cyberbeveiliging in verschillende bedrijfstakken.
Volgens Todd Gifford, CTO bij Optimizing IT, " is RDP historisch gezien een onveilige methode om consoletoegang te krijgen tot machines in een netwerk, omdat het standaard is ingeschakeld en op netwerkniveau openstaat voor iedereen op het internet." En "in veel gevallen," zegt Todd, "is die standaard open-naar-alles benadering nooit veranderd, en als gevolg daarvan zijn er geen goede wachtwoordcontroles complexiteit, en accountvergrendeling."
Rajesh Parthasarathy, oprichter en CEO van MENTIS, legt uit waarom RDP zulke cruciale beveiligingsfuncties mist.
"Stel je een stad voor die gebouwd is zonder planning - huizen gebouwd volgens het gemak, wegen gebouwd om zo min mogelijk te hoeven reizen, commerciële gebieden en industrieën gebouwd volgens de beschikbare ruimte," zegt Rajesh. "Naarmate de tijd vordert en er steeds meer mensen komen wonen, zal de stad instorten omdat ze zich niet aanpast aan deze veranderende behoeften - RDP of Remote Desktop Protocol lijdt aan een soortgelijke tekortkoming."
Met andere woorden, RDP is niet gemaakt om de huidige beveiligingsproblemen en -vereisten aan te kunnen. Vandaar dat het verouderd en kwetsbaar is geworden voor bedreigingen, die cybercriminelen hebben opgemerkt.
"Er bestaan hele ecosystemen van aanvallers om open RDP-instanties te vinden en via phishing referenties te stelen of veelgebruikte combinaties van gebruikersnaam en wachtwoord te raden totdat het juiste paar is gevonden," zegt Jason Rebholz, CISO bij Corvus Insurance.
Hieraan voegt Todd toe dat cybercriminelen na het werken aan het voortdurend raden van RDP-wachtwoorden uiteindelijk binnenkomen. En "Zodra de aanvallers inloggen," zegt Todd, "schakelen ze elke anti-malware service uit of verwijderen ze die, evenals elke logging of software die een beheerder zou kunnen waarschuwen voor problemen."
Bram Jansen, hoofdredacteur van vpnAlert, zegt dat "zodra je endpointbescherming is uitgeschakeld, geen enkele beveiligingsoplossing je zal kunnen helpen als dit gebeurt."
Als RDP dan zo onveilig is, waarom blijven mensen het dan gebruiken?
In een recent interview met Jerry Hsieh, Sr. Director Security & Compliance bij Splashtop, hebben we deze vraag onderzocht.
Volgens Jerry blijven IT-medewerkers RDP gebruiken omdat het vaak gratis en gemakkelijk is omdat het binnen Microsoft is ingebouwd. "Dit betekent dat IT-teams niets speciaals hoeven aan te schaffen, legt" Jerry uit. "Het wordt geleverd met je Microsoft licentie, hoewel RDS (Remote Desktop Services) extra licenties vereist."
Nu steeds meer ransomware aanvallen gericht zijn op RDP, is het tijd om alternatieven te onderzoeken.
Alternatieven voor het Onveilige Remote Desktop Protocol
Virtuele particuliere netwerken (VPN) over RDP
Aangezien RDP nooit veilig is, wordt het vaak alleen ingeschakeld voor toegang tot het interne netwerk. Maar wat als gebruikers RDP buiten het bedrijfsnetwerk willen gebruiken? Dan wordt vaak het gebruik van een VPN naast RDP overwogen.
Een virtual private network, of VPN, creëert een internetverbinding tussen twee locaties om gebruikers in staat te stellen op afstand toegang te krijgen tot computers en bestanden in dat netwerk. Omdat VPN wordt beschouwd als een uitbreiding van het bedrijfsnetwerk, denken mensen dat het "veilig" is om RDP via een VPN-tunnel te gebruiken. Er zijn echter veel VPN-kwetsbaarheden in de loop van het decennium aan het licht gekomen.
Beveiligingsproblemen bij VPNs zijn onder meer:
Updates van de VPN-infrastructuur zijn voornamelijk handmatig, niet automatisch. Dat komt omdat kritieke beveiligingsfuncties zoals multi-factor authenticatie en apparaat authenticatie niet altijd zijn opgenomen. Dit kan apparaten op afstand en bedrijfsnetwerken blootstellen aan zijdelingse bedreigingen, zoals ransomware - dezelfde bedreigingen die RDP betreffen.
VPN's zijn niet klaar voor Zero Trust Network Access.
Een Zero Trust Network Access (ZTNA) kader bestaat uit een reeks technologieën die werken op basis van een adaptief vertrouwensmodel. Toegang tot informatie en netwerken wordt alleen verleend op basis van gebruikersmachtigingen. Uiteindelijk biedt het ZTNA raamwerk gebruikers naadloze connectiviteit zonder de beveiliging of veiligheid van zowel personen als hun gegevens in gevaar te brengen. Door de manier waarop traditionele VPN's werken, kunnen ze geen ZTNA ondersteunen. Voor al deze beveiligingszorgen voorspelde een rapport van Gartner uit 2019 dat tegen 2023 60% van de ondernemingen hun VPN voor toegang op afstand zou uitfaseren ten gunste van veiligere oplossingen.
Bovendien hebben VPNs aanzienlijke nadelen op het gebied van schaalbaarheid en prestaties:
Omdat een VPN niet gebouwd is om zwaar verkeer en meerdere gebruikers tegelijk te verwerken, is het moeilijk om het op schaal in te zetten om te voldoen aan de behoeften van een volledig remote of hybride personeelsbestand.
Het schalen van een VPN-netwerk vereist een upgrade van de VPN-CPU/-geheugen, wat zich vertaalt in een lang en gecompliceerd proces voor IT. En vaak bieden VPNs niet de mogelijkheid om te upgraden. Dit dwingt veel gebruikers om een nieuwer en duurder model aan te schaffen.
Elke werknemer heeft een door het bedrijf uitgegeven apparaat nodig voor een VPN om in een remote office opstelling te kunnen werken. Daardoor kunnen BYOD-apparaten (zoals de thuisapparaten van werknemers) niet worden ingezet.
Remote Access Software - Het moderne alternatief voor RDP?
Net als RDP en VPN biedt remote access-software de mogelijkheid om altijd en overal toegang te krijgen tot een computer of apparaat vanaf een ander apparaat.
In tegenstelling tot een VPN is software voor toegang op afstand gebouwd om veel verkeer aan te kunnen en biedt volledige toegang tot de bestanden en toepassingen van computers op afstand, ongeacht het netwerk. Dit maakt het geschikter dan een VPN voor een externe of hybride omgeving.
In tegenstelling tot RDP is software voor toegang op afstand ook beter voorbereid op de huidige beveiligingsproblemen. Het wordt geleverd met ingebouwde beveiligingsfuncties als SSO (Single Sign-On), MFA (Multi-Factor Authentication), apparaatverificatie, en automatische infrastructuurupdates om bijgewerkt te blijven met beveiligingsnormen. Het is bijna onderhoudsvrij.
Hoewel er veel aanbieders van software voor toegang op afstand op de markt zijn, biedt Splashtop een van de veiligste in de markt. Hoewel sommige remote access software bedrijven hun software bovenop de RDP infrastructuur bouwen, koos Splashtop voor een andere aanpak om iets unieks te creëren ten behoeve van de veiligheid en een betere gebruikerservaring. Dit positioneert Splashtop software als een volgende generatie software voor toegang op afstand, gebouwd om de hedendaagse beveiligingsuitdagingen bij verbindingen op afstand aan te kunnen.
Hoe is Splashtop Next-Gen Remote Access Software beter en anders dan RDP?
Splashtop mede-oprichter en CTO Phil Sheu antwoordde dit in een recent Splashtop-interview over RDP.
"Stel, je hebt een huis in de straat, de deur staat open, en al je bezittingen staan in principe tentoongesteld, "zegt Phil. "Terwijl de hele omgeving niet zou weten dat je deur openstaat, kan iedereen die langsloopt gemakkelijk zien dat er niemand thuis is, en dat je deur openstaat." Dat scenario beeldt RDP uit.
"Neem nu ditzelfde huis en zet het in een omheinde gemeenschap met een bewaker, sluit de deur en doe het hek op slot," vervolgt Phil. "De bewaker controleert de bezoekvergunningen, niemand buiten de poort kan je huis en zijn bezittingen zien, of je wel of niet thuis bent, en je kunt een bepaalde persoon binnenvragen, maar je hebt geen open uitnodiging voor iemand anders om binnen te gluren."
Dat is hoe je Splashtop next-gen remote access software moet visualiseren en hoe het fundamenteel veiliger en beter is dan RDP en VPN.
Splashtop Next-Gen Remote Access-infrastructuur
Splashtop nog niet geprobeerd? Probeer het gratis.