Terwijl ransomware en hackers de afgelopen maanden de krantenkoppen blijven halen, horen we steeds meer vragen over beveiligingsprotocollen voor remote accessoplossingen, samen met vragen over VPN-kwetsbaarheden (Virtual Private Network) en RDP (Remote Desktop Protocol). In sommige gevallen hebben we gehoord dat mensen RDP en het inherente risico ervan zelfs vergelijken met de oplossingen van Splashtop.
Onze CMO, Michelle Burrows, schoof samen met Jerry Hsieh, Splashtop's Sr. Director of Security and Compliance, aan bij Splashtop medeoprichter en CTO, Phil Sheu, om te zien of de zorgen over RDP gerechtvaardigd zijn en om RDP te vergelijken met Splashtop-oplossingen.
Michelle: Ik heb de laatste tijd veel gelezen over de risico's van het gebruik van RDP, zoals in dit recente artikel waarin alle redenen waarom RDP niet veilig is aan bod komen. Waarom denkt u ook dat RDP niet de juiste keuze is voor organisaties die op veiligheid gericht zijn?
Jerry: Voordat we het hebben over waarom RDP een bedreiging vormt voor bedrijven die het gebruiken, kunnen we beter eerst praten over wat het is en waarom het bestaat. RDP is een oudere technologie die oorspronkelijk is ontworpen voor IT-personeel om toegang te krijgen tot de servers zonder fysiek in de serverruimte aanwezig te hoeven zijn. Het is gemaakt om een heel specifiek probleem op te lossen - de serverruimte wordt meestal superkoud gehouden en er is veel lawaai omdat er veel apparatuur in staat. Het is duidelijk waarom IT-medewerkers liever niet in zo'n ruimte willen werken. Daarom is er RDP, waarmee IT-personeel RDP-sessies kunnen starten om op afstand op servers te werken, zonder dat men in dus in die koude en lawaaierige serverruimte hoeft te zijn.
Na verloop van tijd werd het IT-personeel zich ervan bewust dat RDP niet bijzonder veilig was, dus begonnen ze andere beveiligingsinstellingen toe te voegen, zoals ACL's, firewallbeleid of een VPN-gateway, om een extra beveiligingslaag toe te voegen als toegang tot het RDP nodig was buiten het bedrijfsnetwerk. Ik heb gesproken met teams die denken dat dit dan veilig is, maar een verkeerde configuratie van het systeem leidt er vaak toe dat het wordt gecompromitteerd.
En, zoals we een paar weken geleden in dit interview hebben besproken, zijn VPNs om nogal wat redenen ook niet veilig. Wat ik dan zie zijn teams, die geloven dat ze een nieuw stuk aan hun beveiliging toevoegen, maar in plaats daarvan twee technologieën combineren die al oud en kwetsbaar zijn. Het is alsof je een hek om je huis zet en dan het hek en de voordeur open laat staan. Noch het hek, noch de deur zullen je bezittingen beschermen als ze allebei open worden gelaten. Beveiligingsfuncties in een VPN compenseren de RDP-kwetsbaarheden niet.
Michelle: Nu ik luister naar alle redenen om geen RDP of VPN te gebruiken, vraag ik me af waarom sommige teams dit soort technologie blijven gebruiken?
Jerry: De grootste reden dat IT-medewerkers RDP en RDP plus een VPN gebruiken, is omdat het een soort van gratis en gemakkelijk is. Het is ingebouwd in Microsoft en het is als onderdeel van het Windows-hulpprogramma dus al gewoon voor u te gebruiken. Dit betekent dat IT-teams niets speciaals hoeven aan te schaffen – het wordt geleverd met uw Microsoft-licentie, hoewel RDS (Remote Desktop Services) aanvullende licenties vereist.
Michelle: Phil, iets toe te voegen aan RDP en zijn kwetsbaarheden?
Phil: RDP bestaat inderdaad al heel lang - zelfs voordat HTTPS en TLS de gouden standaard werden voor het beveiligen van internetverkeer. RDP is ontworpen om via een bepaalde poort te werken en reageert op iedereen die het via die poort 'pingt'. Een computer die op internet is gezet met deze poort open en RDP actief, kan binnen 90 seconden beginnen met het zien van aanvallen. Aanvallers zijn ongelooflijk bedreven in het zoeken naar en vinden van kwetsbare RDP-endpoints. Door toegang te krijgen tot een RDP-endpoint, kunnen aanvallers ook toegang te krijgen tot het bedrijfsnetwerk waarmee de computer is verbonden.
Michelle: Waarin verschilt Splashtop van RDP?
Phil: Ten eerste hebben we Splashtop ontworpen om cloud-native te zijn en industriestandaard beveiligingsprotocollen zoals HTTPS en TLS te gebruiken. Gegevens worden via poort 443 doorgegeven, net als al het standaard versleutelde webverkeer tegenwoordig, en verbindingen worden mogelijk gemaakt door onze relayservers over de hele wereld. Voor onze klanten betekent dit alles dat er geen speciale poorten nodig zijn en dat firewalls geen speciale uitzonderingen hoeven toe te staan. Computers die Splashtop gebruiken, hoeven niet zichtbaar te zijn op internet of DMZ, zodat kwaadwillenden ze niet gemakkelijk kunnen scannen en aanvallen.
Michelle: Betekent dit dat Splashtop zijn eigen gepatenteerde technologie heeft?
Phil: Ja, we hebben onze eigen gepatenteerde technologie. Er is weinig overeenkomst tussen de architecturen van Splashtop en RDP voor remote access. Ik kan een aantal bedrijven noemen die ervoor hebben gekozen om iets bovenop RDP te bouwen, maar wij hebben besloten om iets unieks te bouwen omwille van de veiligheid en de gebruikerservaring.
Naast beveiliging stelt deze aanpak onze IT- en helpdesk-klanten ook in staat toegang te krijgen tot de grote reeks apparaten die geen RDP ondersteunen (denk aan Macs, iOS, Android en zelfs sommige versies van Windows), allemaal met dezelfde consistente hoge prestaties en bruikbaarheid .
Als laatste opmerking over RDP zal ik de analogie van Jerry over het openlaten van je deur wat verder doorvoeren. Stel je een huis aan de straat voor met de deur open en alle bezittingen uitgestald. Niet iedereen in je omgeving weet dat je deur open staat, maar iedereen die langsloopt kan gemakkelijk zien dat er niemand thuis is en dat de deur open is. Dat is net als RDP. Stel je nu hetzelfde huis voor, maar achter een hek in een gated community, maar met de poort en de deur wijd open. Dat is als RDP plus een VPN.
Laten we deze analogie ook gebruiken om te kijken hoe Splashtop werkt. Neem hetzelfde huis en zet het in een gated community met een bewaker. Sluit nu de deur en doe het hek op slot. De bewaker controleert de bezoekrechten. Niemand buiten de poort kan het huis en de inboedel zien. Misschien is zelfs het huis niet eens zichtbaar van binnen de poort. Dus niemand kan het huis en de bezittingen zien en niemand weet of je thuis bent. Nu kun je dus iemand uitnodigen, zonder dat het een open invitatie is voor anderen om binnen te gluren. Dat is het hoge niveau waarop Splashtop werkt.
Michelle: Bedankt voor de analogieën en je tijd om hier doorheen te lopen. Kun je me verwijzen naar waar de lezers van ons blog nog meer te weten kunnen komen over de beveiliging van Splashtop?
Phil: Ik zou graag wat beveiligingsbronnen delen met onze klanten en toekomstige klanten. We hebben op onze website een sectie gemaakt die gewijd is aan veiligheid en de vragen die mensen kunnen hebben. Je kunt het hier openen: https://www.splashtop.com/security