Počet pokusů zneužití vzdáleného přístupu zaměstnanců se zdvojnásobil

Během nouzového stavu na jaře letošního roku přešla řada firem do režimu, při kterém umožnila svým zaměstnancům práci z jejich  domovů. Toho ale začali zneužívat útočníci a počet pokusů o průnik do interních firemních sítí tímto způsobem se podle dat společnosti Eset od počátku roku více než zdvojnásobil.

Pandemie koronaviru dramaticky změnila pracovní návyky, například v květnu pracovalo v ČR z domovů 15 % všech zaměstnanců. Podle průzkumů by polovina lidí ráda nějakou míru práce na dálku zachovala i v  budoucnu, což znamená, že pracovat z domova budeme v čím dál větší míře i nadále. Aby bylo možné pracovat s firemními aplikacemi nebo daty, využívá řada firem funkci tzv. vzdálené plochy. Tento způsob připojení, které používají převážně interní firemní IT týmy, je ale častým terčem útoků. Analytici  z Esetu v  červnu detekovali po celém světě průměrně 104 tisíc pokusů o prolomení unikátních zařízení denně, v  České republice šlo denně o stovky takových útoků.

ČR není primární cíl, přesto existují tisíce zranitelných zařízení

Prolomení tzv. vzdálené plochy se podle expertů v posledních letech stává poměrně běžným způsobem, jak kompromitovat zařízení. Nejčastěji prolomení končí zašifrováním dat prostřednictvím ransomwaru. Běžnou chybou je především veřejné vystavení této služby do internetu. Pro útočníky je velmi snadné takové zranitelné počítače či servery objevit a následně je zkusit cíleně napadnout.

„Tyto útoky detekujeme nejčastěji v Rusku a Japonsku. V Evropě pozorujeme nejvíce pokusů o zneužití RDP v Německu. Na česká zařízení se útočí v  jednotkách procent případů. Přesto problém není možné podcenit, terčem totiž může být i tzv. kritická infrastruktura státu. Proto mohou být následky tak vážné,“ popsal Václav Zubr, bezpečnostní expert z české pobočky firmy Eset.

Ochránit vzdálené připojení není složité, problém je neznalost

Podle expertů společnosti Eset řada firem zabezpečení podcenila, případně se nestihla adekvátně zabezpečit v  krizi, kdy bylo nutné vzdálený přístup zajistit prakticky ze dne na den. Nejčastějším způsobem prolomení RDP je brute-force útok na slabé heslo.

Experti nedoporučují využívat veřejně vypublikovaný RDP server. V případě, že neexistuje alternativa pro zpřístupnění interní sítě, jsou nutná další bezpečnostní opatření. Mezi ta patří zejména nastavení procesu preautentizace a pravidelné aplikace oprav zranitelností.

Pro bezpečné připojení na dálku je podle odborníků důležité, aby zařízení, které se do sítě připojuje, bylo samo zabezpečené a mělo instalované všechny dostupné aktualizace. V případě, že tomu tak není a vzdálený počítač obsahuje malware, může jedno zařízení snadno infikovat celou firemní síť.

„Vhodnějším krokem ke zpřístupnění interních dat a služeb je spuštění tzv. virtuální privátní sítě, neboli VPN, přes kterou se pak všichni uživatelé mohou připojit bezpečně. Připojení k VPN se doporučuje zabezpečit ještě pomocí dvoufaktorového ověření. Nezanedbatelnou roli hraje také vyspělý antimalware produkt schopný brute-force útoky na hesla detekovat a blokovat,“ poradil Zubr.

Zdroj: Eset