Riforma previdenziale forense in vigore dal 2025  Redazione - 04/10/24  |  Il ruolo degli avvocati nell'era dell'intelligenza artificiale: opportunitŕ o minaccia? Roberto Cataldi - 30/09/24  |  La scienza smascherata United Lawyers for Freedom – ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom – ALI Avvocati Liberi - 26/03/23  |  

Come prevenire un attacco ransomware al sistema RDP

Il sistema RDP (Remote Desktop Protocol), a causa della sua diffusione, è diventato un obiettivo per gli attacchi ransomware


Cos'è il Remote Desktop Protocol

[Torna su]

Molte organizzazioni utilizzano il Remote Desktop Protocol (RDP) per fornire accesso remoto ai propri sistemi. Il ransomware è un tipo di software dannoso che cripta i dati e li tiene in ostaggio fino al pagamento di un riscatto. Può essere disastroso per le aziende, che possono perdere l'accesso a file e documenti critici se non pagano.

Il sistema RDP, a causa della sua diffusione e del fatto che fornisce agli aggressori un accesso diretto alle reti aziendali, è diventato un obiettivo per gli attacchi ransomware.

In questo articolo illustriamo alcune best practices per proteggere la tua organizzazione da tale tipo di attacchi.

Misure per prevenire un attacco Ransomware al RDP

[Torna su]

Il primo passo per prevenire il ransomware tramite RDP consiste nell'assicurarsi che su tutti i dispositivi connessi tramite connessioni RDP siano attivi protocolli di autenticazione forti. Ciò significa che gli utenti che si collegano al sistema tramite una connessione esterna, come VPN o servizi di modem dial-up, devono fornire credenziali di autenticazione a due fattori, come password combinate con OTP (One time Password) o metodi di verifica biometrica, come software di riconoscimento facciale o scanner di impronte digitali, prima di poter accedere.

L'applicazione di regole complesse per le password aiuterà anche a prevenire i tentativi di forza bruta per ottenere l'accesso non autorizzato ai sistemi in rete attraverso password deboli; ciò include l'implementazione di politiche di scadenza delle password in modo che gli utenti debbano cambiare regolarmente le loro informazioni di accesso e la creazione di regole sui set di caratteri accettabili quando si creano nuovi account all'interno del sistema stesso.

Attacchi di forza bruta

[Torna su]

Gli hacker utilizzano la forza bruta per ottenere l'accesso non autorizzato a un sistema informatico. Utilizzano metodi di prova ed errore, tentando varie combinazioni di nome utente e password finché non viene scoperta la combinazione corretta. Per entrare rapidamente in un sistema, l'hacker può anche utilizzare programmi automatici che generano combinazioni casuali di nome utente e password.

Gli attacchi di forza bruta stanno diventando sempre più comuni, poiché le tecniche dei criminali informatici per accedere a dati o sistemi sensibili diventano sempre più sofisticate. Sono particolarmente pericolosi perché non richiedono conoscenze o competenze tecniche specifiche, rendendoli semplici da eseguire anche da parte di aggressori inesperti. Inoltre, gli attacchi di "brute force" possono essere difficili da rilevare perché spesso avvengono senza lasciare traccia.

Le organizzazioni devono proteggersi dagli attacchi di forza bruta implementando forti misure di sicurezza. Inoltre, è fondamentale che i dipendenti ricevano regolarmente una formazione sulle migliori pratiche di cybersecurity, in modo da capire come proteggersi da questo tipo di minacce.

Segmentazione ed educazione del personale

[Torna su]

Un'altra importante misura di sicurezza che le organizzazioni dovrebbero implementare quando utilizzano RDP è il controllo della segmentazione tra le diverse parti dell'infrastruttura di rete interna. In questo modo, se un componente viene compromesso da attori malintenzionati, gli altri componenti rimangono inalterati mentre i team IT indagano ulteriormente.

La segmentazione aiuta anche a limitare la diffusione di potenziali danni da malware nel panorama digitale di un'organizzazione, che può essere disastrosa a seconda del tipo di dati precedentemente archiviati. Inoltre, l'implementazione di più livelli di firewall e di soluzioni antivirus/anti-malware su tutti gli endpoint connessi tramite sessioni di desktop remoto migliorerà significativamente la protezione complessiva.

Anche in questo caso i dipendenti devono essere educati al fine di poter riconoscere le e-mail sospette contenenti link che conducono a siti web dannosi che ospitano malware potenzialmente pericolosi; la formazione dei membri del personale sui principi di base dell'igiene della sicurezza informatica, come ad esempio non fare clic su link sconosciuti inviati da fonti non attendibili, va da sé, ma la formazione deve essere continua, non può essere una-tantum.

Protezione ransomware sui sistemi RDP

[Torna su]

Le aziende che utilizzano connessioni Remote Desktop Protocol (RPD) possono proteggersi meglio dalle minacce di ransomware adottando questi metodi, ed aumentando al contempo la fiducia degli utenti nel fatto di aver preso le misure necessarie per garantire operazioni sicure in futuro. Esistono fortunatamente delle precauzioni che si possono prendere per proteggere il Remote Desktop Protocol (RDP) dagli attacchi ransomware.

Il primo passo per proteggere RDP dal ransomware è assicurarsi che tutti gli utenti che accedono al sistema da remoto abbiano password forti.

Se possibile, attivate l'autenticazione a due fattori, che aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di inserire sia il proprio nome utente/password sia un altro codice inviato via e-mail o messaggio di testo prima di ottenere l'accesso.

Un altro modo per proteggersi dagli attacchi ransomware sui sistemi RDP è quello di mantenere il sistema operativo aggiornato con le patch più recenti installate ogni volta che sono disponibili. In questo modo si garantisce che qualsiasi vulnerabilità nota venga affrontata rapidamente, in modo che gli aggressori non possano sfruttarla facilmente. È inoltre necessario eseguire regolarmente una scansione per individuare eventuali malware con un software antivirus affidabile, eliminare le e-mail sospette senza aprirle, limitare i privilegi amministrativi quando possibile ed eseguire frequenti backup dei dati importanti.

Disabilitare l'autenticazione a livello di rete

[Torna su]

Infine, bisogna prendere in considerazione la possibilità di disabilitare l'autenticazione a livello di rete, che richiede più credenziali rispetto alle combinazioni nome utente/password quando si accede a una sessione RDP: questo aiuta a prevenire gli attacchi di forza bruta perché ogni tentativo di accesso fallito richiede più informazioni rispetto a un singolo tentativo di indovinare la password.

La disabilitazione dell'Autenticazione a livello di rete (NLA) è una funzione di sicurezza che richiede l'autenticazione degli utenti prima di avviare una sessione RDP. Questa procedura di autenticazione aiuta a prevenire i tentativi di accesso malevoli e i login non autorizzati. Tuttavia, in alcuni casi, può essere necessario disabilitare l'NLA quando si accede a una sessione RDP.

I problemi di compatibilità tra le diverse versioni dei sistemi operativi Windows o le applicazioni software di terze parti in esecuzione sia sul lato client che su quello server di una connessione desktop remota sono una delle ragioni principali per disabilitare l'autenticazione a livello di rete. Se il software di una delle due parti non è aggiornato, i protocolli di autenticazione possono fallire, causando connessioni non riuscite o altri errori durante i tentativi di accesso. Disabilitando l'NLA, gli utenti possono evitare questi potenziali problemi di compatibilità, pur continuando a beneficiare di misure di sicurezza di base come la crittografia e i processi di verifica dell'utente durante i login.

Un altro motivo per cui potrebbe essere necessario disabilitare l'autenticazione a livello di rete è se si ha bisogno di accedere da più dispositivi contemporaneamente con un unico account, ma non si vuole che le credenziali di ciascun dispositivo siano memorizzate localmente sul lato server per motivi di privacy.

In questo caso, la disattivazione dell'NLA consentirà a tutti i dispositivi connessi tramite lo stesso account di essere utilizzati in remoto tramite sessioni RDP senza richiedere la memorizzazione di credenziali locali aggiuntive per ogni singolo dispositivo, offrendo una maggiore flessibilità agli utenti finali che necessitano di un accesso simultaneo da più postazioni senza compromettere in alcun modo i diritti alla privacy dei dati.

In conclusione, ci sono diversi scenari in cui la disabilitazione dell'autenticazione a livello di rete quando si accede a una sessione RDP può essere vantaggiosa, in particolare se ci sono problemi di compatibilità tra le diverse versioni dei sistemi operativi Windows e le applicazioni di terze parti in esecuzione su entrambi i lati, nonché situazioni in cui è necessario soddisfare i requisiti di accesso simultaneo da più dispositivi senza mettere a repentaglio i diritti di privacy dei dati degli utenti e le normative stabilite dai dipartimenti IT e dalle linee guida delle organizzazioni. Ma, come sempre, occorre procedere con cautela.

Seguendo le suddette best practices, si ridurranno notevolmente le possibilità di incorrere in costosi tempi di inattività a causa di attacchi ransomware riusciti ai sistemi di protocollo desktop remoto della tua organizzazione!

Data: 13/02/2023 07:50:00
Autore: Marco R. Marzaduri