关于udalenka，不受保护的RDP以及Internet上可用的服务器数量的增加

由于公司匆忙大规模迁移到远程工作，因此可用于Internet上的网络犯罪分子的公司服务器的数量正在迅速增长。主要原因之一是使用不受保护的远程桌面协议（RDP）。根据我们的数据，仅在俄罗斯，仅一周内，通过RDP协议可从Internet访问的设备数量就增加了15％。



如今，组织远程工作的最流行方法是远程连接到工作站，因为用于连接到远程桌面的软件是Windows的任何现代版本的一部分，并且员工的工作过程与常规访问操作系统没有什么不同。为了提供远程访问，使用了RDP协议，默认情况下使用端口3389。

不幸的是，由于恐慌，许多公司没有对保护远程访问工作场所给予应有的重视，这带来了许多威胁。例如，在某些情况下，可以从Internet访问远程服务器并可以看到远程服务器-任何人都可以尝试连接到该服务器。尽管需要标识和身份验证，但攻击者仍可以强制输入密码或替换安全证书。此外，还有许多已知的漏洞，即使您不必通过身份验证过程，也可以访问远程服务器。

这些威胁有多重要？为了回答这个问题，我们使用了各种工具来分析和监视使用RDP协议可从Internet获得的设备数量。根据获得的数据，我们可以得出结论，由于员工大量转移到远程工作，可用设备的数量正在迅速增长。因此，在短短一周内，全球可用服务器的数量增加了20％以上，达到了300万台。在俄罗斯也有类似的情况-可用服务器的份额增长了近15％，总数超过75,000，





这些统计数据开始令人感到恐惧，因为不久前与RDP相关的几个主要漏洞都已消失。在2019年中，发现了一个严重漏洞，编号为CVE-2019-0708，名为BlueKeep，几个月后，还发布了有关名为DejaBlue的关键漏洞CVE-2019-1181 / 1182的信息。第一个和第二个都与RDP协议没有直接关系，但是它们与RDS远程桌面服务相关，并通过RDP发送特殊请求来获得成功操作的能力，从而可以在易受攻击的系统上执行任意代码，甚至无需通过身份验证过程。可以使用受感染的Windows系统访问主机或服务器就足够了。因此，如果未安装最新的Windows安全更新，则可以从Internet访问的任何系统都容易受到攻击。

Microsoft已及时发布了安全更新，以解决BlueKeep和DejaBlue的威胁，但是这些只是与不安全的远程访问相关的已知威胁的几个示例。 Windows安全更新每个月都会修复有关RDP的新发现漏洞，这些漏洞的成功运行可能导致盗窃重要信息，并导致恶意软件的引入和在公司整个基础架构中的快速传播。

在任何大规模事件中，作为全球大流行病都更加可怕的是，对组织的攻击次数将不可避免地增加。公司试图尽快向所有员工提供远程访问权限，但如此匆忙，很容易忘记或忽略保护规则。这就是为什么非常不希望使用普通的不受保护的远程访问桌面的原因。建议使用具有双重身份验证的VPN，并基于安全协议实现远程访问。