In the past few months, as ransomware and hackers continue to make headlines, we are hearing more and more questions about security protocols for remote access solutions, along with questions about VPN (Virtual Private Network) vulnerabilities and RDP (Remote Desktop Protocol). In some cases, we’ve heard that people may even compare RDP and its inherent risk with Splashtop’s solutions.
Onze CMO, Michelle Burrows, schoof samen met Jerry Hsieh, Splashtop's Sr. Director of Security and Compliance, aan bij Splashtop medeoprichter en CTO, Phil Sheu, om te zien of de zorgen over RDP gerechtvaardigd zijn en om RDP te vergelijken met Splashtop-oplossingen.
Michelle: I’ve read a lot lately about the risk in using RDP, including this recent article which talked through all the reasons that RDP isn’t secure. Why do you also believe that RDP is not the right choice for security-minded organizations?
Jerry: Before we talk about why RDP poses a threat to companies and businesses who use it, let’s first talk about what it is and why it exists. RDP is an older technology that was originally designed for IT staff to access the servers without having to physically go into the server room. It was created to solve a very specific problem – the server room is usually kept super cold, and it is also noisy as it holds a lot of equipment. It is easy to understand why IT wouldn’t want to go into that room very often and not to mention to work in it. Along comes RDP enabling IT staff the ability to launch RDP sessions to work on servers remotely, no travel to a cold and noisy server room required.
Na verloop van tijd werd het IT-personeel zich ervan bewust dat RDP niet bijzonder veilig was, dus begonnen ze andere beveiligingsinstellingen toe te voegen, zoals ACL's, firewallbeleid of een VPN-gateway, om een extra beveiligingslaag toe te voegen als toegang tot het RDP nodig was buiten het bedrijfsnetwerk. Ik heb gesproken met teams die denken dat dit dan veilig is, maar een verkeerde configuratie van het systeem leidt er vaak toe dat het wordt gecompromitteerd.
En, zoals we een paar weken geleden in dit interview hebben besproken, zijn VPNs om nogal wat redenen ook niet veilig. Wat ik dan zie zijn teams, die geloven dat ze een nieuw stuk aan hun beveiliging toevoegen, maar in plaats daarvan twee technologieën combineren die al oud en kwetsbaar zijn. Het is alsof je een hek om je huis zet en dan het hek en de voordeur open laat staan. Noch het hek, noch de deur zullen je bezittingen beschermen als ze allebei open worden gelaten. Beveiligingsfuncties in een VPN compenseren de RDP-kwetsbaarheden niet.
Michelle: As I’m listening to you and all the reasons not to use RDP or a VPN, I have to wonder, why do teams continue to use these kinds of technology?
Jerry: The biggest reason that IT staff use RDP and RDP plus a VPN is because it is sort of free and it is easy. It is built in Microsoft, and it is just sitting there for you to use as part of Windows utility. This means IT teams don’t need to purchase anything special – it comes with your Microsoft license, although RDS (Remote Desktop Services) requires additional licenses.
Michelle: Phil, anything to add on RDP and its vulnerabilities?
Phil: RDP has indeed been around a long time – even before HTTPS and TLS became the gold standard for securing Internet traffic. RDP was designed to work over a particular port and will respond to anyone who “pings” it over the port. A computer put on the Internet with this port open and RDP active can start seeing attacks in as short as 90 seconds. Attackers are incredibly adept at looking for and finding vulnerable RDP endpoints. By gaining access into a RDP endpoint, attackers can then pivot to access the corporate network which the computer is connected to.
Michelle: Tell me me how Splashtop is different from RDP.
Phil: First, we architected Splashtop to be cloud-native and use industry-standard security protocols like HTTPS and TLS. Data is passed over port 443 just like all standard encrypted web traffic today, and connections are facilitated by our relay servers worldwide. For our customers, all of that means no special ports are needed, and firewalls do not need to allow special exceptions. Computers using Splashtop do not need to be left exposed on the Internet or DMZ for bad actors to easily scan and attack.
Michelle: Does that mean that Splashtop has its own proprietary technology?
Phil: Yes, we have our own proprietary technology. There is very little in common between Splashtop’s and RDP’s architectures for remote access. I can think of companies who have chosen to build on top of RDP, but we decided to build something unique for the sake of security and user experience.
Naast beveiliging stelt deze aanpak onze IT- en helpdesk-klanten ook in staat toegang te krijgen tot de grote reeks apparaten die geen RDP ondersteunen (denk aan Macs, iOS, Android en zelfs sommige versies van Windows), allemaal met dezelfde consistente hoge prestaties en bruikbaarheid .
Als laatste opmerking over RDP zal ik de analogie van Jerry over het openlaten van je deur wat verder doorvoeren. Stel je een huis aan de straat voor met de deur open en alle bezittingen uitgestald. Niet iedereen in je omgeving weet dat je deur open staat, maar iedereen die langsloopt kan gemakkelijk zien dat er niemand thuis is en dat de deur open is. Dat is net als RDP. Stel je nu hetzelfde huis voor, maar achter een hek in een gated community, maar met de poort en de deur wijd open. Dat is als RDP plus een VPN.
Laten we deze analogie ook gebruiken om te kijken hoe Splashtop werkt. Neem hetzelfde huis en zet het in een gated community met een bewaker. Sluit nu de deur en doe het hek op slot. De bewaker controleert de bezoekrechten. Niemand buiten de poort kan het huis en de inboedel zien. Misschien is zelfs het huis niet eens zichtbaar van binnen de poort. Dus niemand kan het huis en de bezittingen zien en niemand weet of je thuis bent. Nu kun je dus iemand uitnodigen, zonder dat het een open invitatie is voor anderen om binnen te gluren. Dat is het hoge niveau waarop Splashtop werkt.
Michelle: Thank you for the analogies and taking the time to walk through this. Can you direct me to where our blog readers can learn more about Splashtop’s security?
Phil: I would love to share some security resources with our customers and future customers. We’ve created a section on our website that is dedicated to security and the questions that people may have. You can access it here: https://www.splashtop.com/security
