In the past few months, as ransomware and hackers continue to make headlines, we are hearing more and more questions about security protocols for remote access solutions, along with questions about VPN (Virtual Private Network) vulnerabilities and RDP (Remote Desktop Protocol). In some cases, we’ve heard that people may even compare RDP and its inherent risk with Splashtop’s solutions.
Unsere CMO, Michelle Burrows, hat sich mit Phil Sheu, Mitbegründer und CTO von Splashtop, und Jerry Hsieh, Senior Director of Security and Compliance bei Splashtop, zusammengesetzt, um herauszufinden, ob die Bedenken gegenüber RDP berechtigt sind und um RDP mit den Splashtop-Lösungen zu vergleichen.
Michelle: I’ve read a lot lately about the risk in using RDP, including this recent article which talked through all the reasons that RDP isn’t secure. Why do you also believe that RDP is not the right choice for security-minded organizations?
Jerry: Before we talk about why RDP poses a threat to companies and businesses who use it, let’s first talk about what it is and why it exists. RDP is an older technology that was originally designed for IT staff to access the servers without having to physically go into the server room. It was created to solve a very specific problem – the server room is usually kept super cold, and it is also noisy as it holds a lot of equipment. It is easy to understand why IT wouldn’t want to go into that room very often and not to mention to work in it. Along comes RDP enabling IT staff the ability to launch RDP sessions to work on servers remotely, no travel to a cold and noisy server room required.
Im Laufe der Zeit wurde den IT-Mitarbeitern bewusst, dass RDP nicht besonders sicher war, sodass einige begannen, andere Sicherheitseinstellungen wie ACLs, Firewall-Richtlinien oder die Einrichtung eines VPN-Gateways hinzuzufügen, um eine weitere Sicherheitsebene zu schaffen, wenn der Zugriff auf RDP außerhalb des Unternehmensnetzwerks erfolgen sollte. Ich habe mit Teams gesprochen, die dies für sicher hielten, aber eine Fehlkonfiguration des Systems führt häufig zu einer Gefährdung.
Und wie wir vor ein paar Wochen in diesem Interview besprochen haben, sind VPNs aus mehreren Gründen nicht sicher. Was ich dann sehe, ist, dass Teams in dem Glauben, ihre Sicherheitsgrundlage um ein weiteres Element zu erweitern, stattdessen zwei ältere und anfällige Technologien miteinander kombinieren. Das ist so, als würde man einen Zaun um sein Haus errichten und dann den Zaun und die Haustür unverschlossen und offen lassen. Weder der Zaun noch die Tür schützen die Werte im Haus, wenn beide offen gelassen werden. Die Sicherheitsfunktionen in VPN kompensieren nicht die Schwachstellen von RDP.
Michelle: As I’m listening to you and all the reasons not to use RDP or a VPN, I have to wonder, why do teams continue to use these kinds of technology?
Jerry: The biggest reason that IT staff use RDP and RDP plus a VPN is because it is sort of free and it is easy. It is built in Microsoft, and it is just sitting there for you to use as part of Windows utility. This means IT teams don’t need to purchase anything special – it comes with your Microsoft license, although RDS (Remote Desktop Services) requires additional licenses.
Michelle: Phil, anything to add on RDP and its vulnerabilities?
Phil: RDP has indeed been around a long time – even before HTTPS and TLS became the gold standard for securing Internet traffic. RDP was designed to work over a particular port and will respond to anyone who “pings” it over the port. A computer put on the Internet with this port open and RDP active can start seeing attacks in as short as 90 seconds. Attackers are incredibly adept at looking for and finding vulnerable RDP endpoints. By gaining access into a RDP endpoint, attackers can then pivot to access the corporate network which the computer is connected to.
Michelle: Tell me me how Splashtop is different from RDP.
Phil: First, we architected Splashtop to be cloud-native and use industry-standard security protocols like HTTPS and TLS. Data is passed over port 443 just like all standard encrypted web traffic today, and connections are facilitated by our relay servers worldwide. For our customers, all of that means no special ports are needed, and firewalls do not need to allow special exceptions. Computers using Splashtop do not need to be left exposed on the Internet or DMZ for bad actors to easily scan and attack.
Michelle: Does that mean that Splashtop has its own proprietary technology?
Phil: Yes, we have our own proprietary technology. There is very little in common between Splashtop’s and RDP’s architectures for remote access. I can think of companies who have chosen to build on top of RDP, but we decided to build something unique for the sake of security and user experience.
Abgesehen von der Sicherheit ermöglicht dieser Ansatz unseren IT- und Helpdesk-Kunden auch den Zugriff auf eine große Anzahl von Geräten, die RDP nicht unterstützen (z. B. Macs, iOS, Android und sogar einige Windows-Versionen), und das bei gleichbleibend hoher Leistung und Benutzerfreundlichkeit.
Als letzte Bemerkung zum Thema RDP möchte ich die Analogie, die Jerry über das Offenlassen der Tür für Diebe gemacht hat, noch ein wenig weiterführen. Nehmen wir an, Sie haben ein Haus an der Straße, dessen Tür offen steht und in dem alle Ihre Besitztümer zur Schau gestellt werden. Während die gesamte Umgebung nicht weiß, dass Ihre Tür offen ist, kann jeder, der vorbeigeht, leicht erkennen, dass niemand zu Hause ist und Ihre Tür offen steht. Das ist wie RDP. Nehmen Sie nun dasselbe Haus und stellen Sie es hinter eine bewachte Wohnanlage. Aber lassen Sie die Tür weit offen und das Tor offen. Das ist wie RDP, nur mit einem VPN.
Nehmen wir diese Analogie, um zu vergleichen, wie Splashtop funktioniert. Nehmen Sie dasselbe Haus und stellen Sie es in eine bewachte Wohnanlage mit einem Wachmann. Nun schließen Sie die Tür und verriegeln das Tor. Der Wachmann prüft die Besuchsberechtigung. Niemand außerhalb des Tores kann Ihr Haus und dessen Eigentum sehen. Es kann sogar sein, dass das Haus hinter dem Tor gar nicht zu sehen ist. Und niemand kann Ihr Haus, seine Besitztümer oder Ihre Anwesenheit sehen. Sie können eine bestimmte Person einladen, aber Sie haben keine offene Einladung für andere Personen, die hereinschauen können. So funktioniert Splashtop auf einem hohen Niveau.
Michelle: Thank you for the analogies and taking the time to walk through this. Can you direct me to where our blog readers can learn more about Splashtop’s security?
Phil: I would love to share some security resources with our customers and future customers. We’ve created a section on our website that is dedicated to security and the questions that people may have. You can access it here: https://www.splashtop.com/security
