Är RDP säkert? En chatt med Splashtops CTO/grundare och Jerry Hsieh, Sr. Director, Security & Compliance for Splashtop

ett datortangentbord

Under de senaste månaderna, när ransomware och hackare fortsätter att göra rubriker, hör vi fler och fler frågor om säkerhetsprotokoll för fjärråtkomstlösningar, tillsammans med frågor om VPN (Virtual Private Network) sårbarheter och RDP (Remote Desktop Protocol). I vissa fall har vi hört att människor till och med kan jämföra RDP och dess inneboende risk med Splashtops lösningar.

Vår CMO, Michelle Burrows, satte sig tillsammans med Splashtop-grundare och CTO, Phil Sheu, tillsammans med Jerry Hsieh, Splashtops äldre chef för säkerhet och efterlevnad för att se om oro för RDP är berättigade och för att jämföra RDP med Splashtop-lösningar.

Michelle : Jag har läst mycket på sistone om risken med att använda RDP, inklusive den här senaste artikeln som talade igenom alla anledningar till att RDP inte är säker. Varför tror du också att RDP inte är rätt val för säkerhetsinriktade organisationer?

Jerry : Innan vi pratar om varför RDP utgör ett hot mot företag och företag som använder det, låt oss först tala om vad det är och varför det existerar. RDP är en äldre teknik som ursprungligen utformades för att IT -personal ska komma åt servrarna utan att fysiskt behöva gå in i serverrummet. Det skapades för att lösa ett mycket specifikt problem - serverrummet hålls vanligtvis superkallt och det är också bullrigt eftersom det rymmer mycket utrustning. Det är lätt att förstå varför IT inte skulle vilja gå in i det rummet så ofta och för att inte tala om att arbeta i det. Tillsammans kommer RDP som gör det möjligt för IT -personal att starta RDP -sessioner för att arbeta på servrar på distans, ingen resa till ett kallt och bullrigt serverrum krävs.

Med tiden blev IT -personal medvetna om att RDP inte var särskilt säker, så vissa började lägga till andra säkerhetsinställningar som ACL, brandväggspolicyer eller sätta in en VPN -gateway för att lägga till ytterligare ett lager av säkerhet om RDP behövdes åtkomst utanför företagets nätverk. Jag har pratat med team som då tycker att det här är säkert, men felkonfiguration av systemet leder ofta till att det äventyras.

Och, som vi pratade om för några veckor sedan i den här intervjun , är VPN: er inte säkra av ganska många anledningar. Vad jag sedan ser är att team, som tror att de lägger till ytterligare en bit till sin säkerhetsgrund, kombinerar istället två tekniker som är äldre och sårbara. Det är som att sätta upp ett staket runt ditt hus och sedan lämna staketet och ytterdörren olåst och öppen. Varken staketet eller dörren kommer att skydda tillgångarna i huset om båda lämnas öppna. Säkerhetsfunktioner i VPN kompenserar inte för RDP -sårbarheterna.

Michelle : När jag lyssnar på dig och alla anledningar till att inte använda RDP eller ett VPN måste jag undra, varför fortsätter team att använda den här tekniken?

Jerry : Den största anledningen till att IT -personal använder RDP och RDP plus en VPN är att det är gratis och enkelt. Den är byggd i Microsoft, och den sitter bara där du kan använda den som en del av Windows -verktyget. Det betyder att IT -team inte behöver köpa något speciellt - det följer med din Microsoft -licens, även om RDS (Remote Desktop Services) kräver ytterligare licenser.

Michelle : Phil, något att tillägga om RDP och dess sårbarheter?

Phil : RDP har verkligen funnits länge - redan innan HTTPS och TLS blev guldstandarden för att säkra internettrafik. RDP har utformats för att fungera över en viss port och kommer att svara på alla som "pingar" den över porten. En dator som sätts på Internet med denna port öppen och RDP aktiv kan börja se attacker på så kort som 90 sekunder. Angripare är otroligt skickliga på att leta efter och hitta sårbara RDP -slutpunkter. Genom att få åtkomst till en RDP -slutpunkt kan angripare sedan svänga för att komma åt företagsnätverket som datorn är ansluten till.

Michelle : Berätta för mig hur Splashtop skiljer sig från RDP.

Phil : Först, vi arkitekterade Splashtop för att vara molnfödda och använda branschstandard säkerhetsprotokoll som HTTPS och TLS. Data skickas över port 443 precis som all vanlig krypterad webbtrafik idag, och anslutningar underlättas av våra relayservrar över hela världen. För våra kunder betyder allt detta att inga speciella portar behövs, och brandväggar behöver inte tillåta särskilda undantag. Datorer som använder Splashtop behöver inte lämnas utsatta på Internet eller DMZ för att dåliga aktörer enkelt ska kunna skanna och attackera.

Michelle : Betyder det att Splashtop har sin egen teknik?

Phil : Ja, vi har vår egen patenterade teknik. Det finns väldigt lite gemensamt mellan Splashtops och RDP: s arkitekturer för fjärråtkomst. Jag kan tänka på företag som har valt att bygga på RDP, men vi bestämde oss för att bygga något unikt för säkerheten och användarupplevelsen.

Utöver säkerheten möjliggör detta tillvägagångssätt också våra IT- och Help Desk -kunder att få tillgång till den stora uppsättning enheter som inte stöder RDP (tänk Mac, iOS, Android och till och med vissa versioner av Windows), alla med samma konsekvent höga prestanda och användbarhet .

Som en sista anteckning om RDP tar jag analogin som Jerry gjorde om att lämna din dörr öppen för tjuvar lite längre. Låt oss säga att du har ett hus på gatan och dörren är öppen och alla dina tillhörigheter visas i princip. Medan hela omgivningen inte skulle veta att din dörr är öppen, kan alla som går förbi enkelt berätta att ingen är hemma och din dörr är öppen. Det är som RDP. Ta nu samma hus och lägg det bakom en gated community. Men lämna dörren vidöppen och porten öppen. Nu är det som RDP, plus en VPN.

Låt oss ta denna analogi för att jämföra hur Splashtop fungerar. Ta samma hus och placera det i en gated community med en vakt. Stäng nu dörren och lås grinden. Säkerhetsvakten kontrollerar besökstillstånd. Ingen utanför porten kan se ditt hus och dess tillhörighet. Faktum är att huset kanske inte ens syns bakom porten. Och ingen kan se ditt hus, dess tillhörigheter eller om du är hemma. Nu kan du bjuda in en viss person, men du har inte en öppen inbjudan för någon annan att kika in. Det är så Splashtop fungerar på en hög nivå.

Michelle : Tack för analogierna och att du tog dig tid att gå igenom det här. Kan du leda mig dit våra bloggläsare kan lära sig mer om Splashtops säkerhet?

Phil : Jag vill gärna dela några säkerhetsresurser med våra kunder och framtida kunder. Vi har skapat ett avsnitt på vår webbplats som är dedikerat till säkerhet och de frågor som människor kan ha. Du kan komma åt den här: https://www.splashtop.com/security

relaterade artiklar

Gratis provbanner på bloggbotten