前言

远程桌面协议(RDP)是最流行的初始勒索软件攻击媒介，并且多年来一直如此。针对2020年Unit 42事件响应和数据泄露报告，Unit 42研究了1,000多起事件的数据，发现在50%的勒索软件部署案例中，RDP是最初的攻击媒介。在2021年Cortex Xpanse攻击面威胁报告中，Cortex Xpanse研究人员发现RDP占总暴露的30%，是第二位最常见暴露的两倍多。

RDP是Microsoft Windows系统上的一种协议，旨在允许用户远程连接和控制远程系统。最常见的合法用途是允许IT支持远程控制用户的系统以解决问题。最近，RDP在云计算中变得流行，用于访问云环境中的虚拟机(VM)或远程管理云资产。

如果将RDP公开在一个被遗忘的系统、云实例、先前受网络分段保护或通过直接连接到互联网的设备上，就很容易在无意中暴露RDP。更糟糕的是，RDP已变得更广泛、更暴露并且具有更普遍的风险，可能导致攻击（特别是勒索软件部署）、数据丢失、代价高昂的停机时间和补救工作，以及对组织的品牌损害。

为什么RDP如此危险？

RDP是威胁参与者最喜欢的目标，因为一旦攻击者进入，他们就可以完全访问系统（甚至可以达到被盗用户帐户的级别）。如果管理员帐户受到攻击，那将是一场灾难。即使更受限制的用户帐户遭到入侵，攻击者也只需要在该系统上找到另一个漏洞来提升权限并获得更多访问权限。

对于恶意行为者来说，要找到暴露的RDP需要一个简单的nmap脚本，该脚本会扫描Internet上的开放端口3389（默认RDP端口）。今天，攻击者正在不断扫描3389端口，如图X所示。

根据Cortex Xpanse的研究，攻击者可以在45分钟内扫描整个互联网。所以一旦RDP暴露了，攻击者就会发现并且通过多种方式进入：

· 使用窃取的凭据登录。

· 强制登录（如果实现允许无限制的登录尝试）。

· 如果RDP版本过时或使用有缺陷的加密，则执行中间人攻击。

· 利用旧版RDP中的已知漏洞，例如BlueKeep。

避免勒索软件彩票

恶意行为者并不总是针对特定目标，通常情况下，他们只是在寻找那些通过攻击能带来回报的漏洞。勒索软件就像是一种邪恶的彩票系统，您只需打开门就可以进行游戏，例如RDP。

任何组织的第一步都是通过比对手更快地扫描漏洞来规避RDP风险，并确保对所有连接互联网的设备具有完全的可见性和完整的记录系统。如果这些漏洞存在于外部IP空间中，则漏洞扫描程序无法找到它们，因此您需要从外向内进行扫描。很多较为先进的公司使用平均库存时间(MTTI)来衡量他们扫描完整库存和评估潜在风险的速度。

确保您没有不必要的RDP暴露的第一种方法是在所有不需要的系统上简单地禁用RDP。对于需要RDP的系统，请遵循以下安全措施：

· 将RDP置于虚拟专用网络(VPN)之后。

· 启用多重身份验证(MFA)。降低与被盗凭据相关的风险的最佳方法是确保在所有用户帐户上启用MFA。

· 限制登录尝试。同样，为了降低暴力攻击的风险，限制失败的登录尝试，禁止无限制的尝试。

· 为断开连接的会话设置时间限制并自动结束达到该限制的会话。

· 考虑允许列表，以便只有经过批准的IP地址才能连接到RDP服务器。

· 部署互联网规模的攻击面监控解决方案，例如Cortex Xpanse，以监控RDP或其他远程访问服务的意外暴露。