Para peneliti keamanan siber di Coveware menemukan bahwa 42 persen kasus ransomware di Q2 2021 memanfaatkan RDP Compromise sebagai vektor serangan.
Mereka juga menemukan bahwa “Di Q2, email phishing dan brute force Remote Desktop Protocol (RDP) tetap menjadi metode termurah, paling menguntungkan serta populer bagi pelaku ancaman untuk mendapatkan pijakan awal di dalam jaringan perusahaan.”
Berikut dipaparkan cara untuk mendeteksi dan melindungi Remote Desktop Protocol (RDP) yang terbuka ke Internet :
Mendeteksi akses RDP di log
Login atau serangan RDP akan menghasilkan beberapa log peristiwa di beberapa log peristiwa. Peristiwa ini akan ditemukan pada sistem target yang mencoba atau menyelesaikan sesi RDP, atau direktori aktif yang menangani otentikasi.
Melakukan Threat Hunting
Aktor ancaman dapat menghapus satu atau lebih log sebelum memutuskan sambungan, tetapi untungnya, peristiwa pemutusan akan ada di log yang memungkinkan penyelidik melihat sumber pemutusan RDP.
Remote Desktop Gateway
Merupakan peran yang ditambahkan ke Server Windows yang Anda terbitkan ke internet yang menyediakan akses SSL (RDP terenkripsi melalui port TCP 443 dan UDP 3391) alih-alih protokol RDP melalui port 3389.
Virtual Private Network (VPN)
Organisasi juga harus memantau login VPN untuk upaya akses, dan IP sumber diselesaikan ke negara asal.
Jump Host
Organisasi harus memantau aplikasi jump host dan menerapkan patch secepat mungkin.
Cloud RDP
Pilihan lain adalah menggunakan lingkungan cloud seperti Microsoft Azure untuk meng-host solusi jarak jauh yang menyediakan MFA untuk mengirimkan koneksi tepercaya kembali ke organisasi
Mengubah Port RDP
Dengan mengedit registri Windows, port mendengarkan default dapat dimodifikasi, dan organisasi dapat menerapkan deteksi SIEM untuk menangkap upaya port 3389.
Pembatasan Alamat IP
Organisasi dapat menggunakan alat firewall khusus atau Windows Firewall pada mesin host yang dikelola oleh Kebijakan Grup untuk membatasi koneksi RDP ke alamat IP yang diketahui baik.
Selengkapnya: NCC Group
