Kroll 資安公司的副總經理 Matt Dunn 近日針對 RDP 的資安風險與其保護措施做了以下敘述：

RDP 漏洞
因應疫情，為遠端工作所設置的遠端桌面協訂（RDP）其實有著許多資安隱憂，當中大部分問題都是因為到使 RDP 可以通過公共 Wi-Fi 訪問。RDP 本身並非安全的設置，因此需要額外的資安措施來保護其工作站和伺服器。如果沒有妥善安排安全協定，則可導致組織網路攻擊的風險增加。這些攻擊的主要目標往往是小型企業，因為小型企業往往缺乏防範及應對這些攻擊所需的資源。

網路犯罪分子正積極 RDP 漏洞
在 2020 年第一季度 Q1 和第四季度 Q4 間，針對 RDP 的攻擊激增了 768%。Kroll 公司在 10 月發表的一份報告指出，47% 的勒索軟體攻擊都是先通過 RDP 協定的。這當中主要的原因為尋找 RDP 伺服器的門檻非常低。Shodan 是一個可以掃描暴露在網路上的設備的搜索引擎，在上面可以發現超過 400 萬個暴露的 RDP 埠，以及至少 14000 台可從網路上到達的 Windows RDP 伺服器。一般情況下，許多 RDP 伺服器未能啟用多因素認證（Multi-Factor Authentication, MFA）。這意味著攻擊者通過暴力破解找出一個弱的或重復使用的密碼，可以很輕易地通過 RDP 獲得對用戶工作站的訪問。有了這個最初的協定，攻擊者將有可能獲得對一個組織網路的完全訪問權。是因為這些類型的帳戶由集中式系統在域級別進行管理，這意味著所有系統都使用相同的憑證。對這些漏洞的利用只需要確定帳戶憑證來訪問系統，因此，即使是一般級別的駭客也有能力利用 RDP。盡管攻擊本身不需要太多技巧，但影響大至可以破壞一個組織的伺服器。

利用 RDP 作為後續作惡的跳板
RDP 攻擊最常見的目標是利用其作為分散式阻斷服務（DDoS）與勒索軟體安置的跳板。

DDoS 攻擊
在分散式阻斷服務（DDoS）攻擊中，目標是將盡可能多的數據發送到目標網站或伺服器，以癱瘓它並使其離線。 DDoS 攻擊者使用各種不同的方法來實現這一點，例如大型殭屍網絡（Botnet）或一種被稱為 DDoS 放大（也被成為 DNS 放大攻擊）的技術，這是一種攻擊者利用開放 DNS 解析器的功能產生大量流量，使目標伺服器或網路不堪重負，導致伺服器及其周圍基礎設施無法存取的技術。RDP 服務器是潛在的 DDoS 放大器，放大係數為 85.9。 因此，攻擊者可以濫用這些服務向他們的目標發送大量流量，使他們癱瘓。 RDP 日益增長的威脅使得組織在其網絡系統上安裝反 DDoS 保護變得十分重要。

勒索軟體
在 COVID-19 疫情期間，有越來越多駭客使用 RDP 作為跳板，使其成為 2020 年勒索軟體最常見的傳送機制。在使用 RDP 訪問組織的網絡後，勒索軟體運營商能夠搜索網絡並將勒索軟體部署進高價值的系統。 RDP 的便利性激發了許多勒索軟體運營商，將其作為部署勒索軟體的媒介。

保護 RDP 的選項
RDP 是影響組織安全的重大風險。而對 RDP 的保護存在多種不同的選項，不過在有效性和可用性方面存在顯著差異。

（一）基於 IP 的訪問列表
限制對 RDP 解決方案的訪問，可以通過實施僅允許來自特定 IP 地址的 RDP 連接的訪問控制列表 (ACL) 來實現。不過由於各種原因，這不是一個好的解決方案，包括：

可管理性（Manageability）：
ACL 要求組織明確定義哪些 IP 地址應該和不應該被允許訪問 RDP。對於在家辦公的員工，如果員工嘗試在不同地點工作或使用動態分配的 IP 地址，此列表可能會不斷變化。

外圍焦點（Perimeter-focus）：
這種 RDP 安全方法側重於阻止攻擊者對組織網絡的初始訪問。然而，如果攻擊者進入網絡，沒有什麼可以阻止他們橫向移動通過它。

受損端點（Compromised endpoints）：
基於 IP 的訪問管理限制了對特定機器的 RDP 訪問，但對防止這些機器的攻擊沒有任何作用。安裝在員工端點上的惡意軟體不會被阻止通過 RDP 連接到企業網絡。

（二）虛擬專用網絡（VPN）
虛擬專用網絡 (VPN) 是一種常用的遠端工作解決方案。它們旨在為有遠端需求的用戶和企業網絡之間的網絡流量提供加密隧道。 VPN 還支持諸如 MFA 之類的安全解決方案，這些解決方案有助於減輕被盜帳戶的威脅。然而，雖然 VPN 是一種常用的解決方案和縱深防禦安全措施，但它們存在漏洞，並且經常成為試圖部署惡意軟體的駭客的目標，且是即 RDP 後駭客最常用來傳播勒索軟體的媒介。 VPN 用戶必須認識到其固有的弱點，並定期進行安全更新。

結論
使用 RDP 的組織有可能存在大量漏洞或機會被駭客利用。明智的做法是考慮進行專門的遠端工作安全連線評估與掃描，這有助於識別組織與網絡中的安全漏洞，隨時增強組織的資安防護。

參考資料：
https://threatpost.com/remote-desktop-protocol-secure/167719/