О внедрении комплексных решений по защите от утечек информации

Публично открытые RDP-порты чреваты еще одним риском, вдобавок к неоднократно озвученным нелегитимным подключениям, компрометациям и др. Сервис также может использоваться для DDoS-атак с мощным коэффициентом усиления 86:1 – Reflection/Amplification DDoS атака. 

Напомним, среди лидеров атак амплификации или усиления протоколы DNS – с коэффициентом умножения вплоть до 70 и даже максимум 100, ntp – от 20 до 200. Это значит, что в случае с DNS злоумышленник, который контролирует одну машину со скоростью 1 Гбит/с, может эффективно занять до 70-100 Гбит/с трафика на целевом атакующем сервере.

В опубликованной службе RDP особенно уязвим UDP/3389 порт. Усиленный трафик атаки состоит из нефрагментированных пакетов UDP, полученных из порта UDP/3389 и направленных на IP-адрес назначения и порт UDP жертвы по выбору злоумышленника. В отличие от легитимного сеансового трафика RDP, усиленные пакеты атаки имеют длину 1260 байт и дополняются длинными строками нулей. 

Исследование рынка теневых сервисов провели эксперты компании Netscout и уже обнаружили предложения услуг DDoS-по-найму с мощностями от 20 Гбит/с вплоть до 750 Гбит/с. А в открытых сетях на сегодняшний день выявлено около 33 000 серверов Windows RDP, которые могут использоваться не по назначению.

Побочное воздействие Reflection/Amplification RDP атак (отражения/усиления RDP) на ваш ресурс потенциально может включать частичное или полное прерывание критически важных служб удаленного доступа, а также дополнительное прерывание обслуживания из-за потребления пропускной способности сетевого оборудования, балансировщиков нагрузки, исчерпания таблиц состояний межсетевых экранов с отслеживанием состояния и т. д.

«Массовая фильтрация трафика неприменима ввиду потенциальной переблокировки законного трафика и легитимных ответов удаленного сеанса RDP. Более эффективным будет использование RDP сеансов за криптошлюзами и, таким образом, сокрытие их из публичного сетевого пространства», – комментирует проблему Роман Сычев, руководитель отдела сетевых технологий группы компаний Angara.

Из рекомендаций наши эксперты и эксперты Netscout предлагают следующие действия:

  • Так как атаке подвержен протокол UDP, то в качестве временной меры рекомендуется отключить данный сервис на видимых из сети интернет-ресурсах. А в дальнейшем – сокрытие RDP ресурсов за NGFW и VPN шлюзами.

  • Максимально возможно точный контроль в сетевых политиках с применением фильтрации до ip/порт, в том числе для исходящего из сети трафика. Этот шаг часто игнорируется в компаниях, так как считается, что негативное воздействие исходящего трафика минимально, но данный случай показывает, каким образом этот вариант атаки может навредить и вашим ресурсам.

  • Организация защиты от DDoS-атак для всех видимых из публичной сети сервисов. Часто в спектр защиты от DDoS включаются только публичные интернет-ресурсы, такие как Web. Но необходимо учитывать, что обслуживающая их публичная инфраструктура (DNS, NTP и другие сервисы) также не менее уязвима. Сам же тип защиты выбирается взвешенным решением исходя из оценки рисков.

Помочь с усилением защищенности сетевой архитектуры на системном уровне, тюнингом политик сетевой безопасности, планированием и реализацией архитектуры DDoS защиты могут наши эксперты. ГК Ангара имеет ряд услуг, направленных на решение этих вопросов. За консультацией о существующих услугах можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах