/nginx/o/2018/02/28/7646825t1h3b6f.jpg)
С началом массовой удаленной работы многие компании по всему миру сделали свои внутренние инфосистемы доступными для сотрудников через серверы удаленных рабочих столов. Сложившейся ситуацией воспользовались и киберпреступники – с начала марта многократно выросло количество атак на серверы удаленных рабочих столов. Основной причиной были слабые пароли пользователей или неустановленные обновления программного обеспечения.
Вызванная распространением COVID-19 ситуация в новинку и для предприятий, и для сотрудников. Все должны были быстро адаптироваться и внедрить решения, которые позволили бы людям работать из дома. В особенно сложную ситуацию попали те компании, которые раньше не так активно пользовались решениями для удаленной работы.
Руководитель сферы кибербезопасности Telia Eesti Айгар Кяйс заметил, что в кризисной ситуации решения для удаленной работы часто создавались второпях, поэтому многие важные аспекты оставались без внимания. «Например, недостаточно внимания уделялось политике паролей пользователей, в результате чего люди часто использовали слабые пароли при удаленной работе. Поскольку одним из приоритетов в кризисной ситуации было максимально быстрое внедрение необходимого решения, то недостаточно внимания уделялось и установке патчей безопасности и т.д. Самый распространенный способ получить контроль над серверами – объединить информацию, которая стала общедоступной в результате утечки паролей, с обычной атакой методом полного перебора (brute-force attack)», – сказал Кяйс.
Одним из самых популярных решений для удаленной работы является RDP (Remote Desktop Protocol), поскольку он сравнительно недорог, его легко использовать и настраивать. Всего в мире открыто более 4 640 000 серверов удаленных рабочих столов RDP, из них 2371 в Эстонии и, для сравнения, 4529 в Финляндии, в которой гораздо больше жителей.
В Соединенных Штатах число число атак на серверы RDP для удаленных рабочих мест с марта выросло от 200 000 до 1 400 000, то есть в семь раз. Аналогичная тенденция наблюдается и в других странах. Несмотря на то, что Эстония как э-государство находится по сравнению со многими другими странами в гораздо лучшем положении, и многие компании и раньше работали удаленно, к сожалению, и в Эстонии были серьезные случаи взлома систем для удаленной работы.
«Взлом системы обычно используется как трамплин для атак на остальные системы предприятия, все чаще таким образом устанавливают вымогательские вирусные программы, которые могут на значительный период серьезно нарушить деятельность предприятия. Встречались случаи, когда после получения доступа к системам компании злоумышленники шифровали информационные активы и требовали выкуп за расшифровку (так называемый ключ). Разумеется, рекомендуется не платить шантажистам и обеспечить достойное резервное копирование, чтобы при нападении на системы компании не было риска потери информационных активов предприятия или приостановки оказания услуг на длительный срок», – объяснил Кяйс.
Как защитить свое предприятие от подобных атак?
- По возможности стоит сделать инфосистемы предприятия доступными через VPN.
- Используйте двухфакторную аутентификацию.
- Используйте пароли, которые ранее нигде не использовались.
- Необходимо установить надежную и эффективную систему резервного копирования.
- Если услуга удаленного рабочего стола не используется (даже временно), стоит закрыть ее на сервере или рабочей станции.
/nginx/o/2024/10/18/16427047t1h820e.png)