遠端桌面協議 – 它是什麼及其安全疑慮
遠端桌面協定 (RDP) 是一種旨在遠端連接到另一台電腦的 Microsoft 協定。
RDP 具有一些便利功能,包括螢幕分享以及讓 IT 專家能夠充分遠端控制裝置的能力,以便為遠端使用者提供技術協助。
雖然這項技術發展至今已有全球數百萬人使用,但日益嚴重的網路安全問題 – 已讓它成為勒索軟體的攻擊媒介。
根據卡巴斯基的數據,僅在 2021 年初,針對 RDP 的暴力攻擊就超過 3.775 億次。去年也好不到哪裡去。RDP 攻擊從 1 月份的 9130 萬次增加到 2020 年 3 月的 2.774 億次以上。 這在 197 個月內增加了 3%!
考慮到針對 RDP 的勒索軟體攻擊如此危險的增加,現在是企業(尤其是那些依賴 RDP 的資訊技術 (IT) 環境的企業)重新考慮他們對這種已有數十年歷史的遠端訪問協定的依賴的時候了。
為什麼 RDP 如此不安全並且逐漸成為網路犯罪分子的目標?
我們諮詢了來自不同行業的網路安全專家。
根據優化IT的首席技術官Todd Gifford的說法,“RDP歷來是一種通過網路獲得控制台訪問機器的不安全方法,因為它默認啟用,並且在網路級別對互聯網上的所有人開放。“在許多情況下,”Todd說,“預設的向所有人開放的方法從未改變過,因此,沒有良好的密碼控制複雜性和帳戶鎖定。
MENTIS 創辦人兼執行長 Rajesh Parthasarathy 解釋了為什麼 RDP 缺乏如此重要的安全功能。
“想像一下,一個沒有規劃的城市——根據便利性建造房屋,為提供最少的旅行而建造道路,商業區和根據空間可用性建造的工業,”Rajesh說。 “隨著時間的推移,越來越多的人開始搬進來,城市將崩潰,因為它無法適應這些不斷變化的需求 - RDP 或遠端桌面協定也有類似的缺點。
換句話說,RDP 不是為處理當今的安全問題和要求而構建的。因此,它已經過時並且容易受到網路犯罪分子已經注意到的威脅。
“整個攻擊者生態系統的存在是為了找到開放的RDP實例,並通過網络釣魚竊取憑據或猜測常用的使用者名和密碼組合,直到找到正確的使用者名和密碼,”Corvus Insurance首席資訊安全官Jason Rebholz說。
對此,托德補充說,在不斷猜測RDP 密碼之後,網路犯罪分子最終會進入。“一旦攻擊者登錄,”托德說,“他們就會禁用或刪除任何反惡意軟體服務以及任何日誌記錄或任何可能提醒管理員注意任何問題的軟體。
vpnAlert的主編Bram Jansen表示,“一旦你的端點保護被禁用,如果發生這種情況,任何安全解決方案都無法説明你。
如果RDP如此不安全,那麼為什麼人們繼續使用它?
在 Splashtop 安全規範資深總監 Jerry Hsieh 的近期訪談中,我們探討了這個問題。
根據Jerry的說法,IT人員繼續使用 RDP ,因為它通常免費且簡單,因為它內置在 Microsoft中。 “這意味著 IT 團隊不需要購買任何特別的東西,”Jerry 解釋道��。 “它附帶您的 Microsoft 許可證,儘管 RDS(遠端桌面服務)需要額外的許可證。
面對越來越多針對 RDP 的勒索軟體攻擊,是探索替代方案的時候了。
解決遠端桌面協議缺乏安全的替代方案
RDP 虛擬專用網路 (VPN)
由於 RDP 一開始並不安全,因此 RDP 通常僅用於存取內部網路。但是如果使用者想在公司網路之外使用 RDP 怎麼辦?這時候便會考慮使用 VPN 。
虛擬專用網路或 VPN 在兩個位置之間建立 Internet 連接,讓使用者遠端存取該網路中的電腦和檔案。由於一般認為 VPN 是企業網路的延伸,故透過 VPN 通道進行 RDP 也是「安全的」。但事實上近 10 年來所披露的 VPN 漏洞事件有增無減。
VPN 的安全問題包括:
VPN 基礎設施更新主要是手動的,而非自動的。這是因為像 多重驗證 和裝置驗證等關鍵安全功能並不總是包含在內。這可能會使遠端裝置和企業網路暴露於橫向威脅,例如勒索軟體——這與 RDP 所關心的威脅相同。
VPN 尚未準備好零信任網路訪問。
零信任網路訪問 (ZTNA) 框架由一組基於自適應信任模型運行的技術組成。 對資訊和網路的訪問許可權僅根據用戶許可權授予。 最終,ZTNA 框架為使用者提供無縫連接,而不會影響個人及其數據的安全性。 由於傳統VPN的工作方式,它們無法支援ZTNA。 對於所有這些安全問題,Gartner的2019年報告預測,到2023年,60%的企業將逐步淘汰其遠端訪問VPN,轉而採用更安全的解決方案。
此外,VPN 還有一些擴充性和效能方面的缺陷:
由於 VPN 的設計架構不是合用於同時處理大量流量和多使用者,故難以大規模部署來滿足完全遠端或混合模式工作的需求
擴充 VPN 網路需要升級 VPN CPU/記憶體,這表示對 IT 來說是一個漫長而復雜的過程。VPN 通常不提供升級選項,也迫使許多使用者必須採購價格更高的高階型號。
每個員工都需要一個公司發行的設備,以便 VPN 在遠端辦公室設置中工作。 因此,無法使用 BYOD 設備(例如員工的家用設備)。
遠端存取軟體 – 嶄新的 RDP 替代選擇?
如同 RDP 和 VPN,遠端存取軟體具備隨時隨地從其他裝置存取電腦或裝置的能力。
與VPN不同,遠端訪問軟體旨在處理高流量,並提供對遠端計算機檔和應用程式的完全訪問,無論網路如何。 這使得它比VPN更適合遠端或混合環境。
與RDP不同,遠端訪問軟體也更願意處理當今的安全問題。 它具有內置的安全功能,如 SSO(單點登錄)、MFA(多重身份驗證)、設備身份驗證和自動基礎結構更新,以保持安全標準的最新狀態。它幾乎是免維護的。
雖然市場上有許多遠端存取軟體供應商,但 Splashtop 提供了市場上最安全的供應商之一。儘管一些遠端訪問軟體公司在 RDP 基礎架構之上構建他們的軟體,但 Splashtop 採取了不同的方法來創建獨特的的東西,以提高安全性和更好的用戶體驗。 這將Splashtop軟體定位為下一代遠端訪問軟體,旨在應對當今遠端連接中的安全挑戰。
Splashtop 新一代遠端存取軟體與 RDP 有何不同?
Splashtop 共同創辦人兼技術長 Phil Sheu 在最近的 RDP Splashtop 之 RDP 訪談中回答了這個問題。
“假設你在街上有一所房子,門是開著的,你所有的物品基本上都在展示,”菲爾說。 “雖然整個周邊地區都不知道你的門是開著的,但任何路過的人都可以很容易地分辨出沒有人在家,你的門是開著的。 該方案描述了 RDP。
“現在把這所房子放在一個有警衛的封閉式社區里,關上門,鎖上大門,”菲爾繼續說道。 “保安正在檢查探視許可,門外沒有人可以看到你的房子和裡面的物品,無論你是否在家,你可以邀請某個人進來,但你沒有公開邀請其他人偷看。
這就是您應該如何可視化 Splashtop 下一代遠端訪問軟體,以及它如何從根本上比 RDP 和 VPN 更安全、更好。
Splashtop 新一代遠端存取基礎結構
還沒嘗試過 Splashtop 嗎?免費試用。
