ผู้เชี่ยวชาญพบ Brute-force Attack RDP เพิ่มขึ้นกว่าปกติหลายเท่า แนะองค์กรเพิ่มมาตรการป้องกัน

ESET รายงานจำนวนของเหตุการณ์ Brute-force Attack การใช้งาน RDP เพิ่มขึ้นถึง 1 แสนครั้งต่อวันในเดือนเมษาและพฤษภาคมเทียบกับปลายปีก่อนที่มีแค่ 30,000 ครั้งต่อวัน โดยมีปัจจัยสนับสนุนมาจากการทำงานจากที่บ้าน

ด้วยสถานการณ์โควิท 19 ทำให้องค์กรต้องเปลี่ยนนโยบายมาทำงานที่บ้าน ซึ่งมีจำนวนไม่น้อยที่เปิด Remote Desktop ผ่านอินเทอร์เน็ตแต่มีมาตรการป้องกันไม่ดีพอ ทำให้คนร้ายสามารถ Brute-force รหัสผ่านซึ่งอาจจะเพราะว่าตั้งมาอ่อนแออยู่แล้ว หรือมีการใช้ซ้ำกับ Credentials ที่เร่ขายใต้ดินในราคาถูกมากมาย อย่างไรก็ตามจากรายงานของ ESET พบพฤติกรรมของคนร้ายหลังเจาะเข้ามาได้ดังนี้

  • ลบ Log File เพื่อกลบร่องรอย
  • ดาวน์โหลดเครื่องมืออื่นและมัลแวร์เข้ามาเพื่อแทรกแซงระบบ
  • ปิดการตั้งเวลาสำรองข้อมูล เช่น Shadow Copies หรือลบทิ้ง
  • ชโมยข้อมูลจากเซิร์ฟเวอร์

โดย ESET รายงานถึงผลความเสียหายว่าการที่องค์กรไม่ใส่ใจต่อการรักษาความปลอดภัย ทำให้อาจเจอกับแรนซัมแวร์ คริปโตไมเนอร์มัลแวร์ ได้รับผลกระทบทางการเงินและความน่าเชื่อถือ รวมถึงอาจถูกลงดาบซ้ำด้วยกฏหมายด้านข้อมูลต่างๆ ทั้งนี้ประเทศที่ตกเป็นเป้าหมายหลักของคนร้ายคือ สหรัฐฯ จีน รัสเซีย เยอรมันนี และฝรั่งเศส 

ถึงแม้ว่าเราอาจจะไม่ตกเป็นเหยื่อโดยตรงแต่ก็จำเป็นต้องใส่ใจเอาไว้เพราะก็มีหลายองค์กรโดนมาแล้ว ซึ่งผู้เชี่ยวชาญแนะนำวิธีป้องกันตัวไว้ดังนี้

  • ปิดการเชื่อมต่อ RDP ผ่านอินเทอร์เน็ตหรือจำกัดจำนวนผู้ใช้งานที่จำเป็นจริงๆ
  • บังคับให้ตั้งรหัสผ่านที่ซับซ้อนเพื่อใช้งาน RDP
  • เปิดใช้ Multi-factors Authentication 
  • ติดตั้ง VPN Gateway เพื่อรับการเชื่อมต่อ RDP จากภายนอก
  • บนไฟล์วอลปิดการเชื่อมต่อจากภายนอกเข้ามายังเครื่องภายในที่พอร์ต 3389 หรือใดๆ ก็ตามที่เป็นบริการ RDP
  • แยกระบบหรือเครื่องที่เก่ามากแล้วแต่ยังจำเป็นต้อง RDP ผ่านอินเทอร์เน็ตออกมาต่างหากและเตรียมทดแทนให้เร็วที่สุด

ที่มา :  https://www.bankinfosecurity.com/brute-force-attacks-targeting-rdp-on-rise-a-14531


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บริหารจัดการและปกป้องอุปกรณ์ Apple ได้จากทุกที่ด้วย Jamf Pro

ในช่วงไม่กี่ปีที่ผ่านมา… องค์กรชั้นนำต่างๆ เริ่มเปลี่ยนมาใช้งานอุปกรณ์และแพลตฟอร์มของ Apple มากขึ้นเรื่อยๆ เพื่อยกระดับการสร้างสรรค์ผลงาน และตอบโจทย์รูปแบบการทำงานแบบใหม่ๆ ในยุคดิจิทัลมากยิ่งขึ้น Jamf จึงเป็นอีกเครื่องมือสำคัญที่จะมาช่วยให้ธุรกิจและองค์กรของคุณสามารถทำงานและบริหารจัดการผลิตภัณฑ์ Apple ได้อย่างมีประสิทธิภาพสูงสุด และยังช่วยให้ฝ่ายไอทีของคุณสามารถทำงานได้อย่างราบรื่นอีกด้วย

AWS เปิดตัว Graviton2 EC2 instance ใหม่ รองรับ GPU workload

Amazon Web Services ได้ประกาศเปิดตัว EC2 instance ใหม่ ที่ใช้หน่วยประมวลผล Graviton2 พร้อม NVIDIA T4G Tensor Core ออกแบบมาสำหรับ …