Mars dernier 29 La Repubblica a publié un article dont l'incipit était le suivant: «La crise sanitaire et sociale actuelle, déclenchée par le COVID-19, a conduit à une augmentation exponentielle du nombre de personnes qui travaillent à domicile, qui adoptent le travail intelligent pour protéger la santé publique. Dans le même temps, il y a une augmentation des risques de cybersécurité. Cela est principalement dû à deux facteurs. D'une part, le redéploiement des postes de travail en dehors du bureau et l'augmentation de l'utilisation des plateformes de collaboration virtuelle élargissent considérablement la base d'attaques potentielles. Cela pourrait menacer l'infrastructure numérique sur laquelle nous comptons aujourd'hui plus que jamais pour la continuité des activités. Si elle n'est pas traitée de manière proactive, elle pourrait même menacer les infrastructures critiques et la fourniture de services essentiels. D'autre part, la crise du COVID-19 offre aux cybercriminels de nouvelles opportunités d'attaques ciblées, qu'il s'agisse d'e-mails de phishing ou d'autres escroqueries. Ces tactiques visent à tirer parti de la situation la plus vulnérable dans laquelle les gens se trouvent, car ils sont évidemment préoccupés par leur propre santé et sécurité. "
Personnellement, je partage à moitié ce qui est rapporté par le journal bien connu car les attaques dont nous sommes témoins affectent, pour la grande majorité, des infrastructures privées qui, hélas, souffrent des faiblesses dont elles ont toujours souffert et qui, dans une période telle que cela, dans lequel ils sont soumis à un stress continu, montrent toute leur faiblesse.
À cet égard, en fait, je voudrais vous parler de la sécurisation des plates-formes de virtualisation de bureau qui est l'une des plus utilisées et qui, si elles ne sont pas correctement configurées, représentent un risque énorme pour tous ceux qui n'aiment pas ou ne veulent pas les utiliser. nuage avec tout le respect dû au portefeuille d'investissement dans le matériel et les logiciels, littéralement jeté.
Guide de sécurité pour l'adoption du bureau à distance
L'augmentation rapide de la travail intelligent au cours des deux ou trois derniers mois a conduit de nombreuses entreprises à se précipiter pour comprendre comment les infrastructures et les technologies pourraient gérer l'augmentation des connexions à distance. De nombreuses entreprises ont été obligées d'améliorer leurs capacités pour permettre l'accès à distance aux systèmes et applications de l'entreprise, très souvent, en s'appuyant sur l'accès à distance via l'utilisation du protocole de bureau à distance, qui permet aux employés de se connecter directement aux postes de travail et aux systèmes.
Récemment, John Matherly, fondateur de Shodan, premier moteur de recherche au monde pour les appareils connectés à Internet, a réalisé des analyses sur les ports accessibles via Internet d'où sont ressorties des informations importantes. En particulier, il y a eu une augmentation du nombre de systèmes accessibles via le port traditionnel lié à l'utilisation du protocole Remote Desktop Protocol (RDP) et via un port "alternatif" bien connu utilisé pour RDP. On pourrait dire que les recherches de John ont eu pour effet de mettre en évidence une utilisation massive du protocole RDP et son exposition à Internet.
Bien que les services Bureau à distance puissent être un moyen rapide de permettre l'accès aux systèmes, un certain nombre de problèmes de sécurité potentiels doivent être pris en compte avant d'utiliser le Bureau à distance devient la stratégie ultime d'accès à distance. En effet, comme indiqué dans un de mes précédents articles (Parinacota eCyber Resilience), les attaquants tentent d'exploiter le protocole et le service associé, afin de compromettre les réseaux, infrastructures, systèmes et données de l'entreprise.
Par conséquent, il est nécessaire de faire quelques considérations de sécurité pour l'utilisation du bureau à distance et de concentrer l'attention sur une série d'éléments qui doivent, nécessairement, faire partie de la stratégie pour atténuer les risques concernant l'utilisation de RDP et que nous pouvons résumer en:
- Accessibilité directe des systèmes sur l'Internet public.
- Vulnérabilité et gestion des correctifs des systèmes exposés.
- Mouvement latéral interne après une déficience initiale.
- Authentification multifacteur (MFA).
- Sécurité de session.
- Contrôle d'accès et enregistrement à distance.
En ce qui concerne ces considérations, j'ai analysé l'utilisation des services Microsoft Remote Desktop (RDS) comme passerelle afin d'accorder l'accès aux systèmes. La passerelle utilise le protocole SSL (Secure Sockets Layer) pour crypter les communications et empêcher que le système hébergeant les services de protocole de bureau à distance ne soit exposé directement à Internet.
Pour identifier si une entreprise utilise ces services, il est nécessaire d'effectuer une vérification de politique sur le pare-feu et d'analyser les adresses exposées sur Internet et les services utilisés, pour identifier les systèmes exposés. Les règles de pare-feu peuvent être étiquetées «Bureau à distance» ou «Services Terminal Server». Le port par défaut des services Bureau à distance est TCP 3389, celui utilisé par le protocole RDP, bien qu'il soit parfois possible d'utiliser un port alternatif tel que TCP 3388 au cas où la configuration par défaut aurait été modifiée.
Le service Bureau à distance peut être utilisé pour la virtualisation basée sur une session, pour l'infrastructure de bureau virtuel (VDI) ou pour une combinaison de ces deux services. Le service Microsoft Remote Desktop (RDS) peut être utilisé pour protéger les déploiements locaux, les déploiements cloud et les services distants de divers partenaires Microsoft tels que Citrix, par exemple. L'utilisation de RDS pour se connecter à des systèmes locaux améliore la sécurité en réduisant l'exposition des systèmes directement à Internet.
L'infrastructure peut être locale, cloud ou hybride selon les besoins, la disponibilité de la bande passante réseau et les performances.
L'expérience résultant de l'utilisation de Virtual Desktop peut être améliorée en tirant parti du service Windows Virtual Desktop, disponible sur Microsoft Azure. La définition d'un environnement cloud simplifie la gestion et offre la possibilité de faire évoluer les services de virtualisation pour les applications virtuelles et les bureaux. L'utilisation de Windows Virtual Desktop, nette de tout problème de performances dû aux connexions réseau locales qui doivent être résolues avec l'augmentation de la disponibilité de la bande passante réseau, tire parti des fonctionnalités de sécurité et de conformité inhérentes à la plateforme Azure.
Accès administrateur distant sécurisé
Les services Bureau à distance sont utilisés non seulement par les employés pour l'accès à distance, mais également par de nombreux développeurs et administrateurs de systèmes pour gérer les systèmes eux-mêmes et les applications cloud et locales. L'autorisation d'un accès administratif aux serveurs et aux systèmes cloud directement via RDP présente un risque car les comptes utilisés à ces fins disposent généralement de privilèges d'accès plus élevés aux systèmes et infrastructures physiques et logiques, y compris l'accès administrateur système..
En ce sens, l'utilisation du cloud Microsoft Azure aide les administrateurs système à accéder en toute sécurité à l'aide des groupes de sécurité réseau et des stratégies Azure, permettant une administration à distance sécurisée des services grâce aux fonctionnalités d'accès JIT (Just-In-Time). ).
L'accès JIT améliore la sécurité grâce aux mesures suivantes:
- Workflow d'approbation
- Suppression d'accès automatique
- Restriction de l'adresse IP autorisée pour la connexion
L'évaluation des risques
Les considérations relatives à la sélection et à la mise en œuvre d'une solution d'accès à distance doivent toujours prendre en compte le facteur de sécurité et l'appétit pour le risque de l'organisation. L'utilisation de services de bureau à distance offre une grande flexibilité permettant aux travailleurs à distance d'avoir une expérience similaire à celle du travail au bureau, offrant une certaine séparation des menaces sur les points de terminaison (par exemple, les machines utilisateur, gérées et non gérées par le 'organisation). Dans le même temps, ces avantages doivent être comparés aux menaces potentielles pour l'infrastructure de l'entreprise (réseau, systèmes et donc données). Quelle que soit la mise en œuvre de l'accès à distance utilisé par l'organisation, il est essentiel de mettre en œuvre les meilleures pratiques pour protéger les identités et minimiser la surface d'attaque afin de garantir qu'aucun nouveau risque n'est introduit.
Images: Garde nationale aérienne américaine / Microsoft