Nhiều người trong chúng ta đang dựa vào giao thức máy tính từ xa (Remote Desktop Protocol, hay RDP) khi làm việc tại nhà và những kẻ tấn công đang lợi dụng điều này. Đây là cách để giữ an toàn cho thiết bị của bạn.
Giao thức máy tính từ xa (Remote Desktop Protocol, hay RDP) là điều cần thiết để truy cập từ xa. Giờ đây, khi mô hình làm việc từ xa ngày càng phổ biến, các kết nối RDP đã phát triển theo cấp số nhân. Vì RDP cho phép nhân viên từ xa sử dụng mạng của công ty họ, tin tặc không ngừng thực hiện các cuộc tấn công giao thức máy tính từ xa để truy cập vào mạng doanh nghiệp.
Tấn công giao thức máy tính từ xa là gì?
Tấn công RDP là một loại tấn công mạng nhằm giành quyền truy cập hoặc kiểm soát máy tính từ xa bằng giao thức RDP.
Các cuộc tấn công RDP ngày càng trở nên phổ biến khi tin tặc tìm cách lợi dụng các hệ thống, dịch vụ không an toàn và các điểm cuối mạng dễ bị tấn công. Mục tiêu của kẻ tấn công có thể là giành quyền kiểm soát hoàn toàn đối với hệ thống đích, thu thập thông tin xác thực hoặc thực thi mã độc hại.
Phương pháp phổ biến nhất được sử dụng trong các cuộc tấn công RDP là đoán mật khẩu brute-force (đoán mọi mật khẩu có thể có cho đến khi tìm ra mật khẩu) bằng cách thử nhiều kết hợp tên người dùng và mật khẩu cho đến khi tìm ra một kết hợp đúng.
Các phương pháp khác có thể là khai thác lỗ hổng trong các cấu hình và phiên bản phần mềm lỗi thời, nghe lén các kết nối không được mã hóa thông qua tấn công xen giữa hoặc xâm phạm tài khoản người dùng bằng thông tin đăng nhập bị đánh cắp trong các chiến dịch lừa đảo.
Tin tặc nhắm mục tiêu Giao thức máy tính từ xa vì nhiều lý do, bao gồm:
1. Khai thác lỗ hổng
RDP dễ có nhiều lỗ hổng bảo mật khác nhau, khiến nó trở thành mục tiêu hấp dẫn đối với tin tặc muốn truy cập vào các hệ thống và dữ liệu bí mật.
2. Tìm ra mật khẩu yếu
Các kết nối RDP được bảo mật bằng tên người dùng và mật khẩu, vì vậy những mật khẩu yếu có thể dễ dàng bị phát hiện bởi tin tặc sử dụng chiến thuật brute-force hoặc các công cụ tự động khác để bẻ khóa chúng.
3. Khám phá các cổng không an toàn
Bằng cách quét mạng, tin tặc có thể phát hiện ra các cổng RDP mở chưa được bảo mật đầy đủ, cung cấp cho chúng quyền truy cập trực tiếp vào máy chủ hoặc máy tính mà chúng đang nhắm mục tiêu.
4. Phần mềm lỗi thời
Các công cụ truy cập từ xa lỗi thời là một lỗ hổng nghiêm trọng vì chúng có thể chứa các lỗ hổng bảo mật chưa được vá mà tin tặc có thể khai thác.
Cách ngăn chặn tấn công giao thức máy tính từ xa
1. Sử dụng xác thực đa yếu tố
Giải pháp xác thực đa yếu tố có thể giúp bảo vệ chống lại các cuộc tấn công RDP bằng cách thêm một lớp bảo mật khác vào quy trình xác thực.
Xác thực đa yếu tố yêu cầu người dùng cung cấp hai hoặc nhiều phương thức xác thực độc lập, chẳng hạn như mật khẩu và mã dùng một lần được gửi qua SMS hoặc email. Điều này khiến tin tặc khó truy cập hệ thống hơn nhiều vì chúng sẽ cần cả hai thông tin để xác thực.
2. Triển khai xác thực cấp độ mạng
Việc triển khai xác thực cấp độ mạng (Network Level Authentication, hay NLA) có thể giúp ngăn chặn các cuộc tấn công RDP bằng cách yêu cầu người dùng xác thực trước khi có quyền truy cập vào hệ thống.
NLA xác thực người dùng trước khi thiết lập phiên RDP. Nếu xác thực không thành công, kết nối sẽ bị hủy ngay lập tức. Điều này giúp bảo vệ chống lại các cuộc tấn công brute-force và các loại hành vi nguy hiểm khác.
Ngoài ra, NLA yêu cầu người dùng kết nối bằng giao thức TLS/SSL, tăng tính bảo mật của hệ thống.
3. Giám sát nhật ký máy chủ RDP
Theo dõi nhật ký máy chủ RDP có thể giúp ngăn chặn các cuộc tấn công RDP bằng cách cung cấp thông tin chi tiết về bất kỳ hoạt động đáng ngờ nào.
Ví dụ: quản trị viên có thể theo dõi số lần đăng nhập không thành công hoặc xác định địa chỉ IP được sử dụng để cố gắng giành quyền truy cập vào máy chủ. Họ cũng có thể xem lại nhật ký cho bất kỳ quá trình khởi động hoặc tắt máy không mong muốn nào và hoạt động của người dùng.
Bằng cách theo dõi các nhật ký này, quản trị viên có thể phát hiện các hoạt động độc hại và thực hiện biện pháp bảo vệ hệ thống trước khi một cuộc tấn công thành công.
4. Triển khai RDP Gateway
Vai trò của Remote Desktop Gateway (RDG) là cung cấp quyền truy cập an toàn vào mạng nội bộ hoặc tài nguyên của công ty. Cổng này đóng vai trò trung gian giữa mạng nội bộ và người dùng từ xa bằng cách xác thực người dùng và mã hóa lưu lượng giữa họ.
Lớp bảo mật bổ sung này giúp bảo vệ dữ liệu nhạy cảm khỏi những kẻ tấn công tiềm năng, đảm bảo dữ liệu luôn an toàn và không thể truy cập được trước bất kỳ hoạt động truy cập trái phép nào.
5. Thay đổi cổng RDP mặc định
Tội phạm mạng có thể nhanh chóng phát hiện ra các thiết bị kết nối internet chạy cổng RDP với sự trợ giúp của một công cụ như Shodan. Sau đó, chúng có thể tìm kiếm các cổng RDP đang mở bằng trình quét cổng.
Do đó, việc thay đổi cổng mặc định (3389) được sử dụng bởi giao thức máy tính từ xa có thể giúp ngăn chặn các cuộc tấn công RDP vì tin tặc sẽ bỏ lỡ cổng RDP của bạn.
Tuy nhiên, tin tặc hiện cũng đang nhắm mục tiêu vào các cổng không thường dùng. Vì vậy, bạn nên chủ động đềphòng các cuộc tấn công brute-force nhắm vào các cổng RDP của mình.
6. Khuyến khích sử dụng mạng riêng ảo
Mạng riêng ảo cho phép người dùng truy cập tài nguyên một cách an toàn và từ xa trong khi vẫn giữ an toàn cho dữ liệu của họ khỏi các tác nhân độc hại.
VPN có thể giúp bảo vệ chống lại các cuộc tấn công RDP bằng cách cung cấp kết nối được mã hóa giữa hai máy tính. Nó cũng đảm bảo rằng người dùng không kết nối trực tiếp với mạng công ty, do đó loại bỏ nguy cơ thực thi mã từ xa và các cuộc tấn công khác.
Ngoài ra, VPN cung cấp một lớp bảo mật bổ sung khi lưu lượng truy cập được định tuyến qua một đường hầm an toàn mà tin tặc không thể xâm nhập.
7. Bật Hạn chế kiểm soát truy cập dựa trên vai trò
Việc triển khai các hạn chế Kiểm soát truy cập dựa trên vai trò (Role-Based Access Controlm, hay RBAC) có thể giúp giảm thiểu thiệt hại mà những kẻ tấn công có thể gây ra sau khi có quyền truy cập vào mạng bằng cách giới hạn quyền truy cập của người dùng chỉ vào các tài nguyên mà họ cần để thực hiện các công việc của mình.
Với RBAC, quản trị viên hệ thống có thể xác định các vai trò riêng lẻ và chỉ định các đặc quyền dựa trên các vai trò đó. Bằng cách này, các hệ thống sẽ an toàn hơn vì người dùng không được cấp quyền truy cập vào các phần của hệ thống mà họ không cần đến.
8. Thực thi chính sách khóa tài khoản
Thực thi Chính sách khóa tài khoản có thể giúp bảo vệ chống lại các cuộc tấn công RDP bằng cách giới hạn số lần thử mà người dùng có thể thực hiện trước khi tài khoản của họ bị khóa.
Chính sách khóa ngăn chặn những kẻ tấn công sử dụng các phương pháp brute-force để thử và đoán mật khẩu người dùng, đồng thời giới hạn số lần thử không thành công có thể thực hiện trước khi tài khoản bị khóa.
Lớp bảo mật bổ sung này làm giảm đáng kể khả năng có được quyền truy cập trái phép thông qua mật khẩu yếu và ngăn kẻ tấn công thực hiện nhiều lần đăng nhập trong một thời gian ngắn.
9. Bật cập nhật tự động
Thường xuyên cập nhật hệ điều hành giúp đảm bảo rằng tất cả các lỗ hổng RDP đã biết đã được giải quyết và vá lỗi, do đó hạn chế cơ hội bị các tác nhân độc hại khai thác.
Huỳnh Văn Huy –VPTH