О внедрении комплексных решений по защите от утечек информации

Публично открытые RDP-порты чреваты еще одним риском, вдобавок к неоднократно озвученным нелегитимным подключениям, компрометациям и др. Сервис также может использоваться для DDoS-атак с мощным коэффициентом усиления 86:1 – Reflection/Amplification DDoS атака. 

Напомним, среди лидеров атак амплификации или усиления протоколы DNS – с коэффициентом умножения вплоть до 70 и даже максимум 100, ntp – от 20 до 200. Это значит, что в случае с DNS злоумышленник, который контролирует одну машину со скоростью 1 Гбит/с, может эффективно занять до 70-100 Гбит/с трафика на целевом атакующем сервере.

В опубликованной службе RDP особенно уязвим UDP/3389 порт. Усиленный трафик атаки состоит из нефрагментированных пакетов UDP, полученных из порта UDP/3389 и направленных на IP-адрес назначения и порт UDP жертвы по выбору злоумышленника. В отличие от легитимного сеансового трафика RDP, усиленные пакеты атаки имеют длину 1260 байт и дополняются длинными строками нулей. 

Исследование рынка теневых сервисов провели эксперты компании Netscout и уже обнаружили предложения услуг DDoS-по-найму с мощностями от 20 Гбит/с вплоть до 750 Гбит/с. А в открытых сетях на сегодняшний день выявлено около 33 000 серверов Windows RDP, которые могут использоваться не по назначению.

Побочное воздействие Reflection/Amplification RDP атак (отражения/усиления RDP) на ваш ресурс потенциально может включать частичное или полное прерывание критически важных служб удаленного доступа, а также дополнительное прерывание обслуживания из-за потребления пропускной способности сетевого оборудования, балансировщиков нагрузки, исчерпания таблиц состояний межсетевых экранов с отслеживанием состояния и т. д.

«Массовая фильтрация трафика неприменима ввиду потенциальной переблокировки законного трафика и легитимных ответов удаленного сеанса RDP. Более эффективным будет использование RDP сеансов за криптошлюзами и, таким образом, сокрытие их из публичного сетевого пространства», – комментирует проблему Роман Сычев, руководитель отдела сетевых технологий группы компаний Angara.

Из рекомендаций наши эксперты и эксперты Netscout предлагают следующие действия:

  • Так как атаке подвержен протокол UDP, то в качестве временной меры рекомендуется отключить данный сервис на видимых из сети интернет-ресурсах. А в дальнейшем – сокрытие RDP ресурсов за NGFW и VPN шлюзами.

  • Максимально возможно точный контроль в сетевых политиках с применением фильтрации до ip/порт, в том числе для исходящего из сети трафика. Этот шаг часто игнорируется в компаниях, так как считается, что негативное воздействие исходящего трафика минимально, но данный случай показывает, каким образом этот вариант атаки может навредить и вашим ресурсам.

  • Организация защиты от DDoS-атак для всех видимых из публичной сети сервисов. Часто в спектр защиты от DDoS включаются только публичные интернет-ресурсы, такие как Web. Но необходимо учитывать, что обслуживающая их публичная инфраструктура (DNS, NTP и другие сервисы) также не менее уязвима. Сам же тип защиты выбирается взвешенным решением исходя из оценки рисков.

Помочь с усилением защищенности сетевой архитектуры на системном уровне, тюнингом политик сетевой безопасности, планированием и реализацией архитектуры DDoS защиты могут наши эксперты. ГК Ангара имеет ряд услуг, направленных на решение этих вопросов. За консультацией о существующих услугах можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах