Gli Attacchi Ransomware Arrivano dal Remote Desktop, Sai Come Proteggerti?

Negli ultimi anni, l’uso del Remote Desktop Protocol (RDP) per il controllo remoto dei server aziendali è cresciuto esponenzialmente. Purtroppo, questo protocollo si è rivelato anche un bersaglio privilegiato per i cybercriminali: recenti statistiche indicano che il RDP è stato sfruttato nel 90% degli attacchi informatici. Gli attori malevoli sfruttano vulnerabilità note come accessi con credenziali deboli e configurazioni errate, per accedere ai sistemi tramite RDP. Alcuni esempi e tipologie di attacchi includono:

1. Ransomware come SamSam: Questo malware ha usato attacchi brute force su credenziali RDP per infiltrarsi nei sistemi di enti pubblici e aziende private, come nel caso del Colorado Department of Transportation e la città di Atlanta, chiedendo poi un riscatto per decrittare i dati bloccati​. Qui puoi leggere di più sul caso: Addressing Remote Desktop Attacks and Security | eSecurity Planet
2. Abusi delle credenziali vendute su dark web: Secondo un rapporto dell’FBI, è emerso un mercato nero in cui vengono venduti accessi RDP compromessi. Gli attacchi RDP possono essere difficili da rilevare e vengono spesso sfruttati per installare malware o rubare informazioni sensibili​. (*Fonte: RDP Increasingly Abused in Attacks: FBI – SecurityWeek)
3. Vulnerabilità delle pipe nominate in Windows RDP: Un attacco sofisticato scoperto da CyberArk permette agli hacker di sfruttare le pipe nominate per dirottare comunicazioni RDP e accedere a dati sensibili come file di sistema e smart card​ (*Fonte: Attacking RDP from Inside: How we abused named pipes for smart-card hijacking, unauthorized file sys)

Per chi volesse ulteriormente approfondire il tema, di seguito alcuni articoli interessanti:

• Sophos Report on RDP Attacks
• SecurityWeek – FBI on RDP Attacks
• CyberArk – Named Pipes Vulnerability

Inoltre, durante un recente webinar, Sophos ha presentato una soluzione innovativa per contrastare queste minacce, puntando sulla tecnologia Zero Trust Network Access (ZTNA). Vediamo insieme come questa soluzione può proteggere le aziende da attacchi sempre più sofisticati.

Perché RDP e VPN Non Bastano Più

Il Remote Desktop Protocol (RDP) viene spesso utilizzato per la gestione remota dei server aziendali, ma rappresenta anche un rischio elevato se non è adeguatamente protetto. Gli attaccanti possono sfruttare non solo la porta standard 3389, ma anche porte non standard grazie a strumenti avanzati che scansionano tutto il traffico RDP. Questo rende i server esposti particolarmente vulnerabili.

Allo stesso modo, le Virtual Private Network (VPN) tradizionali, utilizzate per consentire l’accesso remoto alla rete aziendale, presentano limitazioni. Quando un utente accede tramite VPN, è come se fosse direttamente connesso alla rete aziendale. In caso di compromissione delle credenziali, l’intera rete diventa esposta, rendendo urgente la necessità di adottare soluzioni di sicurezza più mirate e controllate.

Zero Trust Network Access (ZTNA): La Soluzione Sophos per una Sicurezza Avanzata

Per risolvere queste criticità, Sophos ha sviluppato la tecnologia Zero Trust Network Access (ZTNA). Questo approccio si basa sul principio fondamentale di “non fidarsi mai, verificare sempre”, che garantisce un’autenticazione e una verifica continua degli utenti e dei dispositivi che accedono alle risorse aziendali.

Ecco come funziona la soluzione Zero Trust Network Access di Sophos in tre passaggi:

1. Identificazione dell’utente: La soluzione verifica l’identità dell’utente tramite autenticazione a più fattori (Multi-Factor Authentication – MFA). In questo modo, solo gli utenti autorizzati possono accedere alle risorse aziendali.
2. Verifica del dispositivo: Il dispositivo da cui l’utente si connette deve essere conforme alle policy di sicurezza aziendali, come avere un antivirus aggiornato e privo di minacce attive.
3. Accesso mirato: Anche se l’utente e il dispositivo sono stati verificati, l’accesso è limitato esclusivamente alle risorse necessarie. Così facendo, non viene fornito un accesso generale a tutta la rete.

Questi controlli multipli garantiscono che solo utenti e dispositivi autorizzati possano accedere alle applicazioni aziendali, riducendo il rischio di accessi non autorizzati.

Integrazione ZTNA con i Firewall e gli Endpoint Sophos

La tecnologia Zero Trust Network Access (ZTNA) di Sophos si integra perfettamente con i firewall e gli endpoint Sophos. Il firewall funziona come un gateway, autenticando tutto il traffico in entrata e assicurandosi che solo connessioni sicure siano permesse. A differenza delle VPN tradizionali, che aprono un accesso totale alla rete, Zero Trust Network Access limita l’accesso esclusivamente alle applicazioni specifiche, riducendo così la superficie di attacco.

Gli endpoint Sophos, già utilizzati per proteggere i dispositivi aziendali, giocano un ruolo fondamentale. Permettono di verificare lo stato di sicurezza dei dispositivi da cui gli utenti si connettono, assicurando che solo dispositivi sicuri possano accedere alle risorse aziendali tramite ZTNA.

Perché Zero Trust Network Access (ZTNA) è la Scelta Giusta per la Tua Azienda

L’adozione di una soluzione come Zero Trust Network Access (ZTNA) di Sophos offre numerosi vantaggi, specialmente per le aziende che utilizzano già firewall e endpoint Sophos. I principali benefici includono:

• Accessi più sicuri e controllati: Solo gli utenti e i dispositivi verificati possono accedere alle risorse, riducendo il rischio di accessi non autorizzati.
• Riduzione delle superfici di attacco: Limitando l’accesso alle sole risorse necessarie, ZTNA impedisce agli attaccanti di ottenere un accesso completo alla rete.
• Sicurezza ottimizzata per il lavoro remoto: Con il lavoro remoto in crescita, ZTNA garantisce che tutti i dispositivi esterni alla rete aziendale rispettino i requisiti di sicurezza

Conclusione

Con il 90% degli attacchi che sfruttano il Remote Desktop Protocol (RDP), è chiaro che le aziende devono adottare soluzioni di sicurezza avanzate per proteggere i propri dati e le proprie reti. La tecnologia Zero Trust Network Access (ZTNA) di Sophos rappresenta un’evoluzione essenziale per le aziende che desiderano mantenere un alto livello di sicurezza, soprattutto in un contesto di lavoro sempre più distribuito. Grazie alla sua perfetta integrazione con i firewall e gli endpoint Sophos, ZTNA offre un approccio moderno e proattivo per contrastare le minacce informatiche e proteggere le risorse aziendali.

Se vuoi saperne di più sulle soluzioni Sophos e scoprire come Atik può supportarti,

contattaci subito per una consulenza gratuita con i nostri esperti!