Har du sikret virksomhedens RDP-port?

Af Martin Helms & Philip Hegaard

I forbindelse med Rackhostings medlemsskab af Det Nationale Cyber Crime Center NC3, har vi netop modtaget nedenstående bulletin vedr. RDP-porte, som vi synes er vigtig at dele.

Hvad er en RDP-port?

En RDP-port (Remote Desktop Protocol port) er en netværksport, som bruges til at forbinde eksterne computere til en server eller computer, så de kan administreres på afstand. Tænk på RDP-porten som en digital nøgle til din virksomheds it-systemer. Hvis denne nøgle falder i de forkerte hænder, kan det sammenlignes med, at en tyv får direkte adgang til dit hjem eller kontor. RDP anvender typisk port 3389, men denne standardindstilling kan udnyttes af ondsindede aktører, der scanner netværk for sårbare systemer.

Har du sikret virksomhedens RDP-port?

NC3 ser for tiden flere eksempler på, at kriminelle udnytter en sårbarhed i virksomheders it-systemer. Sårbarheden skyldes svagt forskansede RDP-porte, der kan forceres, så hackere får uberettiget adgang til systemerne.

Når RDP-porten står åben, kan de kriminelle få adgang til store dele af computeren og serveren, som derefter udnyttes til mange forskellige former for kriminalitet. Åbne RDP-porte bliver udnyttet til:

• Indsamling af brugernavne og adgangskoder: Disse bruges til såkaldt "CEO-bedrageri", hvor gerningsmanden udgiver sig for at være en leder og forsøger at snyde medarbejdere til at overføre penge.
• Ransomware: Kriminelle krypterer eller låser serveren og kræver en løsesum for at dekryptere den igen.
• Bedrageri: Gerningsmænd logger på computeren og bruger den til kommunikation med potentielle ofre.
• Distribution af ulovligt materiale: Brug af RDP-porte til deling af ulovligt indhold, herunder børnemisbrugsmateriale.

Hvordan opererer gerningsmændene?

Når gerningsmændene finder åbne RDP-porte, forsøger de et listebaseret angreb. De bruger lister med brugernavne og adgangskoder og kombinerer dem for at finde en gyldig kombination. Hvis de lykkes, kan de enten selv udnytte adgangen eller sælge den til andre kriminelle.

Hvad kan du gøre for at sikre din virksomhed?

NC3 anbefaler følgende forholdsregler i din virksomhed:

• Brug stærke adgangskoder: Brug adgangskoder på mere end 12 karakterer, gerne en sætning eller en remse. Adgangskoden må ikke benyttes andre steder.
• Undgå rene navne som brugernavne: Brugernavne bør ikke være almindelige danske navne som Niels, Frederik, Johanne osv. Brug unikke og komplekse brugernavne.
• Gennemgå RDP-adgang: Luk for adgangen for brugere, der ikke længere har brug for den.
• Skift RDP-port: I stedet for at benytte standardporten 3389, skift til en anden ubenyttet port. Dette gør det sværere for kriminelle at finde og udnytte RDP-adgangen.

Tekniske sikkerhedsforanstaltninger

For at beskytte din virksomhed mod angreb på RDP-porte kan følgende tekniske sikkerhedsforanstaltninger implementeres:

• Multi-faktor-autentificering (MFA): Aktiver MFA for at tilføje et ekstra lag af sikkerhed. Dette kræver, at brugerne bekræfter deres identitet med en anden faktor ud over deres adgangskode.
• Netværksadgangskontrol (NAC): Implementer NAC for at sikre, at kun autoriserede enheder kan få adgang til netværket.
• VPN (Virtual Private Network): Brug VPN til at sikre fjernadgang ved at kryptere al dataoverførsel mellem fjernbrugere og virksomhedens netværk.
• Intrusion Detection and Prevention Systems (IDPS): Implementer IDPS for at opdage og forebygge mistænkelig aktivitet og potentielle angreb.
• Regelmæssige opdateringer og patching: Sørg for, at alle systemer og applikationer er opdaterede med de nyeste sikkerhedsopdateringer og patches for at reducere sårbarheder.
• Brug af firewalls: Konfigurer firewalls til kun at tillade adgang fra specifikke IP-adresser, der har behov for RDP-adgang.
• Logning og overvågning: Overvåg og log alle RDP-forbindelser for at kunne identificere og reagere på mistænkelig aktivitet hurtigt.

Derudover henvises til virksomhedsguiden ”Forholdsregler ved brud på it-sikkerhedssystemer”, som ligger på www.politi.dk/samarbejde/nc3skyt.

Rackhosting: Din Partner i IT-sikkerhed

I Rackhosting er IT-sikkerhed og databeskyttelse noget, vi tager absolut seriøst, både på egne og vores kunders vegne. Læs mere om nogle af vores sikkerhedsløsninger på vores hjemmeside. Vores mål er at sikre, at dine data forbliver beskyttede mod de nyeste trusler.

Ved at tage disse forholdsregler kan din virksomhed mindske risikoen for, at RDP-porten bliver udnyttet af kriminelle. Sikkerhed handler om at være et skridt foran truslerne, og ved at forstå og implementere disse sikkerhedsforanstaltninger kan du beskytte din virksomhed mod potentielle angreb.