COVID-19 salgını sırasında RDP sunucularına yönelik saldırılar Arttı...!

COVID-19 salgını sonrası çalışanların evden çalışabilmeleri için yapılan, 1,5 milyondan fazla yeni Uzak Masaüstü Protokolü (RDP) bağlantısı internete büyük bir açığa neden oldu. Dünyada açık RDP portlarını hedefleyen saldırıların sayısı Mart ve Nisan aylarında üç kattan fazla arttı.

Pek çok şirket, çalışanların kısa bir süre içinde eve götürmeleri için kullanılmayan dizüstü bilgisayarların büyük bir kısmını devreye aldı, özellikle işlerini sadece belirli Windows sürümlerinde devam ettire bilen eski yazılımlarla iş istasyonlarından çalışanlar ve BT ekipleri evden çalışmak zorunda kalırken, şirket içi sunucuları uzaktan yönetme ihtiyacı da şirketlerin çözüm bulması gereken ortak bir sorun haline geldi.

Bilgisayarların uzaktan yönetimini etkinleştirmek için Windows'a yerleşik bir teknoloji olarak, RDP bu tür sorunlara kolay bir çözüm olabilir, ancak güvensiz bir şekilde dağıtıldığında kuruluşlar için büyük bir zayıflık nedeni.

RDP ciddi bir riskti daha da kötüleşti

RDP protokolü, yaygın kullanıcı adları ve şifre kombinasyonları listelerine veya diğer kaynaklardan çalınan kimlik bilgilerine dayanan kimlik bilgisi doldurma ve diğer kaba kuvvet şifre tahmin saldırıları için ilk hedeftir..Bazı siber suçlular, saldırıya uğramış RDP kimlik bilgilerini yeraltı piyasasında fidye yazılımı veya hassas verilerin çalınması, ağ güvenliğinin aşılmasına yol açabilecek karmaşık saldırılar için sıkça kullanmaktadır.

Güvenlik Şirketleri, internete maruz kalan RDP limanlarının sayısının Ocak ayında 3 milyondan Mart'ta 4,5 milyondan fazlaya yükseldiğine dikkat çekiyor. Bunların üçte birinden fazlası ABD'de, üçte biri de Çin'de. Açık RDP bağlantı noktalarına sahip makinelerin yarısından fazlası Windows Server'ın bazı sürümlerini çalıştırıyor, ancak büyük bir kısmı artık desteklenmeyen ve güvenlik güncelleştirmeleri almayan Windows 7 çalıştırıyor. Bu bir endişe kaynağıdır, çünkü çoğu zaman zayıf parolalarla yapılandırılmasının yanı sıra, yıllar içinde güvenlik açıklarından ve saldırılardan payını da almıştır.

RDP saldırılarında artış

VPN servis sağlayıcısı Atlas VPN'in yakın tarihli bir raporuna göre, 10 Mart'tan başlayarak, RDP saldırılarının sayısı ABD, İspanya, İtalya, Almanya, Fransa, Rusya ve Çin'de önemli ölçüde arttı. Bu, COVID-19 pandemisine yanıt olarak dünya çapında uygulanan nüfus hareketi kısıtlamaları ve karantina başlangıcı ile ilişkili gibi görünmektedir.

Şirket, raporunda "ABD'de saldırılar 7 Nisan 2020'de toplam 1.417.827 saldırı ile zirveye ulaştı." diyor. "9 Şubat - 9 Mart 2020, 10 Mart - 10 Nisan 2020 arasındaki dönemle karşılaştırıldığında, ABD'deki RDP saldırıları % 330 arttı." belirtilmiş.

10 Mart ve 15 Nisan tarihleri arasında, şirket dünya çapında 148 milyon RDP saldırısı kaydetti. ABD'de 32 milyondan fazlası ya da günde ortalama 900.000 saldırı tespit edildi.

Şirket, "Bu saldırılar, doğru olanı bulana kadar çok sayıda kullanıcı adı ve şifre kombinasyonunu sistematik olarak deniyor." "Başarılı bir saldırı, siber suçluların şirket ağındaki hedef bilgisayara veya sunucuya uzaktan erişimini sağlar."

RDP'yi korumak için neler yapılmalı

Öncelikle, dijital sertifika ve iki faktörlü kimlik doğrulama ile bile RDP'yi doğrudan internete maruz bırakmak güvenlik için yeterli olmayacaktır. Açıkların kapatılmasındaki yavaşlık sunucuların her zaman bir RDP güvenlik açığı nedeniyle ele geçirilmesine neden olabilir. RDP'ye yalnızca şirket ağına güvenli bir VPN bağlantısı üzerinden erişilebilir olmalıdır.

Güvenlik firmaları aşağıdaki en iyi uygulamaları önerir:

Açık internet üzerinden RDP bağlantılarına izin vermeyin.

Çok faktörlü kimlik doğrulamanın yanı sıra karmaşık parolalar kullanın.

Çok sayıda başarısız oturum açma girişimi olan kullanıcıları kilitleyin ve IP'leri engelleyin veya zaman aşımı yapın.

Bir RDP ağ geçidi kullanın.

Alan adı yöneticisi hesap erişimini sınırlayın.

Yerel yönetici sayısını en aza indirin.

Erişimi kısıtlamak için bir güvenlik duvarı kullanın.

Kısıtlı yönetici modunu etkinleştir.

Ağ Düzeyinde Kimlik Doğrulamasını (NLA) etkinleştirin.

Yerel yönetici hesaplarının benzersiz olduğundan emin olun ve RDP kullanarak oturum açabilen kullanıcıları kısıtlayın.

Ağ içine yerleştirmeyi düşünün.

Kuruluş bilgilerini göstermeyen bir hesap adlandırma kuralı kullanmayı düşünün.

https://www.tekvizyonpc.com/index.php/yazilar/rdp-sunucular-saldiri-artti

Özel IOC'lerin (Compromise Göstergeleri) Gelişmiş Tehdit Avı ve Tespiti İçin Önemi

Tehdit istihbaratında özel IOC’ler (Indicators of Compromise), özellikle gelişmiş tehdit avlama ve tespit süreçlerinde kritik bir rol oynar. Standart IOC'ler genellikle bilinen tehditlere karşı etkiliyken, gelişmiş ve sürekli tehditler (APT'ler) gibi sofistike saldırılar, bu göstergeleri atlatmak için sürekli yöntemlerini değiştirir. İşte bu nedenle, özel IOC’ler birçok kurum için vazgeçilmez hale geliyor. Özel IOC Nedir ve Neden Önemlidir? IOC'ler, bir sistemin veya ağın saldırıya uğradığını gösteren belirli kanıt parçalarıdır. Özel IOC’ler ise kurumların kendi sistem yapılarına ve tehdit ortamlarına özgü olarak hazırlanır. Şu faydaları sağlar: 1. Yeni ve Karmaşık Tehditlerin Belirlenmesi: Özel IOC'ler, kamuya açık tehdit istihbaratında yer almayan ve belirli bir kuruluşu hedef alan saldırıları tespit etmeye olanak tanır. 2. Esneklik: Saldırganların değişen davranışlarına göre uyarlanabilir, böylece yeni tehditleri daha hızlı algılar. 3. Proaktif Savunma: Kurumlar, ya...

Devamı

TekvizyonPC Güvenlik ve Teknoloji Hizmetleri

Bu Blogda Ara

linkedin