In the past few months, as ransomware and hackers continue to make headlines, we are hearing more and more questions about security protocols for remote access solutions, along with questions about VPN (Virtual Private Network) vulnerabilities and RDP (Remote Desktop Protocol). In some cases, we’ve heard that people may even compare RDP and its inherent risk with Splashtop’s solutions.
Nuestra CMO, Michelle Burrows, se sentó con el cofundador y CTO de Splashtop, Phil Sheu, junto con Jerry Hsieh, Director Senior de Seguridad y Cumplimiento de Splashtop para ver si las preocupaciones sobre RDP están justificadas y para comparar RDP con las soluciones de Splashtop.
Michelle: I’ve read a lot lately about the risk in using RDP, including this recent article which talked through all the reasons that RDP isn’t secure. Why do you also believe that RDP is not the right choice for security-minded organizations?
Jerry: Before we talk about why RDP poses a threat to companies and businesses who use it, let’s first talk about what it is and why it exists. RDP is an older technology that was originally designed for IT staff to access the servers without having to physically go into the server room. It was created to solve a very specific problem – the server room is usually kept super cold, and it is also noisy as it holds a lot of equipment. It is easy to understand why IT wouldn’t want to go into that room very often and not to mention to work in it. Along comes RDP enabling IT staff the ability to launch RDP sessions to work on servers remotely, no travel to a cold and noisy server room required.
Con el tiempo, el personal de TI se dio cuenta de que el RDP no era especialmente seguro, por lo que algunos empezaron a añadir otras configuraciones de seguridad, como ACL, políticas de cortafuegos o la colocación de una puerta de enlace VPN para añadir otra capa de seguridad si se necesitaba acceder al RDP fuera de la red de la empresa. He hablado con equipos que luego piensan que esto es seguro, pero una mala configuración del sistema a menudo lleva a que se vea comprometido.
Y, como hablamos hace unas semanas en esta entrevista, las VPN tampoco son seguras por bastantes razones. Lo que veo entonces es que los equipos, creyendo que están añadiendo una pieza más a su base de seguridad, están en cambio combinando dos tecnologías que son más antiguas y vulnerables. Es como poner una valla alrededor de tu casa y luego dejar la valla y la puerta principal sin cerrar y abiertas. Ni la valla ni la puerta protegerán los bienes de la casa si ambas se dejan abiertas. Las características de seguridad de la VPN no compensan las vulnerabilidades del RDP.
Michelle: As I’m listening to you and all the reasons not to use RDP or a VPN, I have to wonder, why do teams continue to use these kinds of technology?
Jerry: The biggest reason that IT staff use RDP and RDP plus a VPN is because it is sort of free and it is easy. It is built in Microsoft, and it is just sitting there for you to use as part of Windows utility. This means IT teams don’t need to purchase anything special – it comes with your Microsoft license, although RDS (Remote Desktop Services) requires additional licenses.
Michelle: Phil, anything to add on RDP and its vulnerabilities?
Phil: RDP has indeed been around a long time – even before HTTPS and TLS became the gold standard for securing Internet traffic. RDP was designed to work over a particular port and will respond to anyone who “pings” it over the port. A computer put on the Internet with this port open and RDP active can start seeing attacks in as short as 90 seconds. Attackers are incredibly adept at looking for and finding vulnerable RDP endpoints. By gaining access into a RDP endpoint, attackers can then pivot to access the corporate network which the computer is connected to.
Michelle: Tell me me how Splashtop is different from RDP.
Phil: First, we architected Splashtop to be cloud-native and use industry-standard security protocols like HTTPS and TLS. Data is passed over port 443 just like all standard encrypted web traffic today, and connections are facilitated by our relay servers worldwide. For our customers, all of that means no special ports are needed, and firewalls do not need to allow special exceptions. Computers using Splashtop do not need to be left exposed on the Internet or DMZ for bad actors to easily scan and attack.
Michelle: Does that mean that Splashtop has its own proprietary technology?
Phil: Yes, we have our own proprietary technology. There is very little in common between Splashtop’s and RDP’s architectures for remote access. I can think of companies who have chosen to build on top of RDP, but we decided to build something unique for the sake of security and user experience.
Más allá de la seguridad, este enfoque también permite a nuestros clientes de TI y del servicio de asistencia técnica acceder al gran conjunto de dispositivos que no son compatibles con RDP (piense en Macs, iOS, Android e incluso algunas versiones de Windows), todo ello con el mismo alto rendimiento y facilidad de uso.
Como última nota sobre la RDP, llevaré la analogía que hizo Jerry sobre dejar la puerta abierta a los ladrones un poco más allá. Digamos que tienes una casa en la calle y la puerta está abierta y todas tus pertenencias están básicamente a la vista. Mientras que toda la zona circundante no sabría que tu puerta está abierta, cualquiera que pase por allí puede saber fácilmente que no hay nadie en casa y que tu puerta está abierta. Eso es como RDP. Ahora, tome esta misma casa y póngala detrás de una comunidad cerrada. Pero, deja la puerta abierta de par en par y la verja abierta. Eso es como RDP, más una VPN.
Tomemos esta analogía para comparar cómo funciona Splashtop. Tome esta misma casa y póngala en una comunidad cerrada con un guardia. Ahora cierra la puerta y cierra el portón. El guardia de seguridad está comprobando los permisos de visita. Nadie fuera de la puerta puede ver tu casa y sus pertenencias. De hecho, puede que la casa ni siquiera sea visible desde detrás de la verja. Y nadie puede ver tu casa, sus pertenencias o si estás en casa. Ahora bien, usted puede invitar a una persona en particular a entrar, pero no tiene una invitación abierta para que cualquier otra persona se asome. Así es como funciona Splashtop a alto nivel.
Michelle: Thank you for the analogies and taking the time to walk through this. Can you direct me to where our blog readers can learn more about Splashtop’s security?
Phil: I would love to share some security resources with our customers and future customers. We’ve created a section on our website that is dedicated to security and the questions that people may have. You can access it here: https://www.splashtop.com/security