Il protocollo RDP è ancora un grosso problema di sicurezza per le aziende

Apr 11, 2024 Marina Londei Approfondimenti, Attacchi, In evidenza, RSS 0

---

Secondo l’ultimo report di Sophos, “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”, i cybercriminali hanno sfruttato il protocollo RDP nel 90% degli attacchi tracciati dalla firma di sicurezza; stando alle analisi precedenti, si tratta della percentuale più alta dal 2020.

Il protocollo RDP e altri servizi remoti sono stati anche il vettore più comune per la violazione delle reti, rappresentando la via d’accesso iniziale nel 65% degli incidenti registrati da Sophos. Questi servizi rimangono tra i metodi di accesso iniziali preferiti dagli attaccanti; per questo le aziende dovrebbero dare priorità alla gestione sicura dei servizi remoti.

Sophos porta l’esempio di un cliente che è stato attaccato quattro volte in sei mesi e in tutti e quattro i casi i cybercriminali hanno ottenuto l’accesso sfruttando porte RDP esposte. Una volta entrati nella rete aziendale, gli attaccanti si sono mossi lateralmente eseguendo altri payload e disabilitando la protezione degli endpoint.

“I servizi remoti esterni sono per molte aziende un requisito necessario ma rischioso. I cybercriminali conoscono bene i pericoli che questi servizi comportano e cercano attivamente di sfruttarli per riscuotere il premio che essi promettono” ha dichiarato John Shier, field CTO di Sophos. “Tenere esposti dei servizi senza adeguate cautele e tecniche di mitigazione dei relativi rischi porta inevitabilmente a violazioni informatiche. Non serve molto tempo perché un attaccante riesca a trovare e violare un server RDP esposto e, senza controlli supplementari, nemmeno il server Active Directory che lo aspetta dall’altra parte”.

Le cause di attacco più comuni rimangono le credenziali compromesse e lo sfruttamento delle vulnerabilità, con le prime che hanno rappresentato la causa primaria di oltre il 50% degli incidenti analizzati. Guardando ai dati cumulativi raccolti dai report Active Adversary dal 2020 al 2023, le credenziali compromesse sono anche la principale causa primaria di attacchi di sempre, riguardando quasi un terzo di tutti gli incidenti di sicurezza. Nonostante la prevalenza storica, nel 43% dei casi l’autenticazione multifattore era assente.

Lo sfruttamento delle vulnerabilità invece è stato responsabile del 30% delle casistiche analizzate. 

“La gestione del rischio è un processo attivo. Di fronte a cybercriminali determinati e alle loro costanti minacce, le aziende che la sanno fare bene si trovano in una situazione migliore rispetto a quelle che non ci riescono. Un importante aspetto della gestione dei rischi di sicurezza, oltre alla loro identificazione e prioritizzazione, riguarda la capacità di agire in base alle informazioni raccolte. Eppure, certi rischi come i servizi RDP aperti continuano da troppo tempo a rendere vulnerabili le aziende per la felicità degli autori degli attacchi che possono entrarci dalla porta principale. Proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione aumenta la sicurezza complessiva e consente di rispondere meglio ai cyberattacchi” ha concluso  Shier.

---

• accesso a reti private, protocollo rdp, servizi remoti, Sophos, spostamento laterale, vulnerabilità

---

---