Is Next-Gen Remote Access Software de oplossing voor onveilige RDP?

onveilige RDPRemote Desktop Protocol – wat het is en waarom het niet veilig is

Remote Desktop Protocol (RDP) is een Microsoft-protocol dat is ontworpen om op afstand verbinding te maken met een andere computer. 

RDP wordt geleverd met een aantal zeer handige functies, waaronder het delen van schermen en de mogelijkheid om een apparaat op afstand volledig te laten bedienen door een IT-expert, die van veraf technische assistentie biedt aan een gebruiker.

Hoewel deze technologie nu wereldwijd door miljoenen mensen wordt gebruikt, zijn er steeds meer zorgen over de cybersecurity, namelijk dat het wordt gebruikt als aanvalsmogelijkheid voor ransomware.

Volgens Kaspersky waren er alleen al begin 2021 meer dan 377,5 miljoen brute-force-aanvallen gericht op RDP. En vorig jaar was het niet beter. Het aantal RDP-aanvallen groeide van 91,3 miljoen in januari tot meer dan 277,4 miljoen in maart 2020. Dat is een stijging van 197% in 3 maanden! 

Gezien de gevaarlijke toename van ransomware-aanvallen die gericht zijn op RDP, is het tijd voor bedrijven, vooral met informatietechnologie (IT)-omgevingen die vertrouwen op RDP, om hun afhankelijkheid van dit nu tientallen jaren oude protocol voor remote access te heroverwegen.

Waarom is RDP zo onveilig en steeds vaker het doelwit van cybercriminelen?

We vroegen het aan een paar cybersecurity-experts in verschillende sectoren.

Volgens Todd Gifford, CTO bij Optimizing IT, "was RDP van oudsher een onveilige methode om consoletoegang te krijgen tot machines via een netwerk, omdat het standaard is ingeschakeld en voor iedereen op internet op netwerkniveau toegankelijk is." En "in veel gevallen", zegt Todd, "is die standaard open-voor-iedereen-aanpak nooit veranderd. Als gevolg daarvan is er geen goede wachtwoordcontrolecomplexiteit en accountvergrendeling."

Rajesh Parthasarathy, oprichter en CEO van MENTIS, legt uit waarom RDP zulke cruciale beveiligingsfuncties mist.

"Stel je een stad voor die is gebouwd zonder planning - huizen die lukraak zijn gebouwd, wegen die zijn aangelegd voor zo min mogelijk reistijd, commerciële gebieden en industrieën die zijn gebouwd op basis van beschikbare ruimte", zegt Rajesh. "Naarmate de tijd verstrijkt en er meer en meer mensen komen wonen, zal de stad ineenstorten omdat zij er niet in slaagt zich aan deze veranderende behoeften aan te passen - RDP of Remote Desktop Protocol lijdt aan een vergelijkbare tekortkoming."

Met andere woorden, RDP is niet gebouwd om de huidige beveiligingsproblemen en -vereisten aan te kunnen. Daarom is het verouderd en kwetsbaar voor bedreigingen, wat ook is opgemerkt door cybercriminelen.

"Er bestaan complete ecosystemen van aanvallers om open RDP-instances te vinden en inloggegevens te stelen via phishing of veelgebruikte combinaties van gebruikersnamen en wachtwoorden te raden totdat de juiste is gevonden", zegt Jason, CISO bij Corvus Insurance.

Hieraan voegt Todd toe dat cybercriminelen, door onophoudelijk RDP-wachtwoorden te raden, uiteindelijk binnenkomen. "En als ze eenmaal binnen zijn", zegt Todd, "dan schakelen ze anti-malware en andere software en alle logging uit, waardoor een beheerder niet achter eventuele problemen kan komen.”

Bram Jansen, hoofdredacteur van vpnAlert, zegt dat "zodra je endpointbescherming is uitgeschakeld, geen enkele beveiligingsoplossing je meer kan helpen."

Als RDP zo onveilig is, waarom blijven mensen het dan gebruiken? 

In een recent interview met Jerry Hsieh, Sr. Director Security & Compliance bij Splashtop, hebben we deze vraag onderzocht.

Volgens Jerry blijven IT-medewerkers RDP gebruiken omdat het vaak gratis en gemakkelijk is want het is ingebouwd in Microsoft. "Dit betekent dat IT-teams niets speciaals hoeven aan te schaffen", legt Jerry uit. "Het wordt geleverd met uw Microsoft-licentie, hoewel RDS (Remote Desktop Services) aanvullende licenties vereist."

Met steeds meer ransomware-aanvallen die gericht zijn op RDP, is het tijd om alternatieven te verkennen.

Alternatieven voor het Onveilige Remote Desktop Protocol

Virtual Private Networks (VPN) via RDP

Aangezien RDP nooit veilig is, wordt het vaak alleen ingeschakeld voor toegang tot het interne netwerk. Maar wat als gebruikers RDP buiten het bedrijfsnetwerk willen gebruiken? Dan wordt vaak het gebruik van een VPN naast RDP overwogen.

Een virtual private network, of VPN, creëert een internetverbinding tussen twee locaties om gebruikers in staat te stellen op afstand toegang te krijgen tot computers en bestanden in dat netwerk. Omdat VPN wordt beschouwd als een uitbreiding van het bedrijfsnetwerk, denken mensen dat het "veilig" is om RDP via een VPN-tunnel te gebruiken. Er zijn echter veel VPN-kwetsbaarheden in de loop van het decennium aan het licht gekomen.

Beveiligingsproblemen bij VPNs zijn onder meer:

  • Updates van de VPN-infrastructuur zijn voornamelijk handmatig en niet automatisch. Dat komt omdat kritieke beveiligingsfuncties zoals multi-factor authenticatie en apparaatauthenticatie niet altijd zijn inbegrepen. Dit kan externe apparaten en bedrijfsnetwerken blootstellen aan laterale dreigingen, zoals ransomware – dezelfde dreigingen waar RDP mee te maken heeft.
  • VPNs zijn niet klaar voor Zero Trust Network Access. Een Zero Trust Network Access (ZTNA)-framework is gemaakt van een reeks technologieën die werken volgens een adaptief vertrouwensmodel. Toegang tot informatie en netwerken wordt alleen verleend op basis van gebruikersrechten. Uiteindelijk biedt het ZTNA-framework gebruikers naadloze connectiviteit zonder de beveiliging of veiligheid voor zowel individuen als hun gegevens in gevaar te brengen. Vanwege de manier waarop traditionele VPNs werken, kunnen ze ZTNA niet ondersteunen. Vanwege al deze beveiligingsproblemen voorspelde een Gartner-rapport uit 2019 dat in 2023 60% van de ondernemingen hun remote access VPN geleidelijk zou afschaffen ten gunste van veiligere oplossingen.

Bovendien hebben VPNs aanzienlijke nadelen op het gebied van schaalbaarheid en prestaties:

  • Aangezien een VPN niet is gebouwd om zwaar verkeer en meerdere gebruikers tegelijk te verwerken, is het moeilijk om het op grote schaal in te zetten om te voldoen aan de behoeften van een volledig extern of hybride personeelsbestand
  • Het schalen van een VPN-netwerk vereist een upgrade van de VPN-CPU/-geheugen, wat zich vertaalt in een lang en gecompliceerd proces voor IT. En vaak bieden VPNs niet de mogelijkheid om te upgraden. Dit dwingt veel gebruikers om een nieuwer en duurder model aan te schaffen.
  • Elke werknemer heeft een door het bedrijf uitgegeven apparaat nodig om een VPN te laten werken in een externe kantoorconfiguratie. Als gevolg hiervan kunnen BYOD-apparaten (zoals apparaten voor thuisgebruik van werknemers) niet worden benut.

Remote Access-software – het moderne alternatief voor RDP?

Net als RDP en VPN biedt remote access-software de mogelijkheid om altijd en overal toegang te krijgen tot een computer of apparaat vanaf een ander apparaat.

In tegenstelling tot een VPN is remote access-software gebouwd om veel verkeer te verwerken en biedt het volledige toegang tot de bestanden en toepassingen van externe computers, ongeacht het netwerk. Dit maakt het geschikter dan een VPN voor een remote of hybride omgeving.

In tegenstelling tot RDP is remote access-software ook beter voorbereid op de huidige beveiligingsproblemen. Het wordt geleverd met ingebouwde beveiligingsfuncties zoals SSO (Single Sign-On), MFA (Multi-Factor Authentication), apparaatverificatie en automatische infrastructuurupdates om up-to-date te blijven met beveiligingsstandaarden. Het is bijna onderhoudsvrij.

Hoewel er veel leveranciers van remote access-software zijn, biedt Splashtop een van de veiligste oplossingen op de markt. Daar waar sommige softwarebedrijven voor remote access hun software bovenop de RDP-infrastructuur bouwen, koos Splashtop voor een andere benadering om iets unieks te creëren omwille van de veiligheid en een betere gebruikerservaring. Dit positioneert Splashtops software als een next-gen remote access oplossing, die is gebouwd om de huidige beveiligingsuitdagingen in externe verbindingen aan te gaan.

Hoe is Splashtop Next-Gen Remote Access-software beter en anders dan RDP?

Splashtop mede-oprichter en CTO Phil Sheu antwoordde dit in een recent Splashtop-interview over RDP.

“Stel dat je een huis aan de straat hebt, de deur staat open en al je spullen staan eigenlijk zichtbaar uitgestald voor iedereen”, zegt Phil. "Hoewel niet iedereen kan zien dat je deur open staat, kan iemand die langsloopt wel makkelijk zien dat er niemand thuis is en dat je deur open is." Dat scenario stelt RDP voor.

"Neem nu hetzelfde huis en zet het in een gated community met een bewaker, sluit de deur en de poort", vervolgt Phil. “Een bewaker controleert de bezoekrechten, niemand buiten de poort kan uw huis en uw bezittingen zien of weten of u wel of niet thuis bent, en u kunt bepaalde mensen uitnodigen, zonder dat het een open invitatie is voor anderen om binnen te kijken.”

Dat is hoe je Splashtop next-gen remote access-software moet visualiseren en waarom het fundamenteel veiliger en beter is dan RDP en VPN.

next-gen remote access

Splashtop Next-Gen Remote Access-infrastructuur

Splashtop nog niet geprobeerd? Probeer het gratis.


gerelateerde artikelen

Gratis proefbanner op de onderkant van het blog