Detección y protección frente ataques RDP

Dentro de los ataques informáticos recibidos en la compañías, los servicios de escritorio remoto son los más frecuentemente utilizados mediante fuerza bruza, si éstos se encuentran expuestos directamente a la red Internet. Advanced EDR detecta y protege los equipos de la red frente a ataques que utilizan el protocolo RDP (Remote Desktop Protocol) como vector de infección.

Mediante el protocolo RDP, los usuarios conectan con equipos remotos y ejecutan procesos que les permiten utilizar los recursos del equipo destino. En el caso de usuarios no legítimos, este protocolo también puede ser utilizado para facilitar los desplazamientos laterales dentro de la red de la corporativa y acceder a otros recursos dentro de la infraestructura IT.

Al activar la configuración Ataque por fuerza bruta al RDP / Credenciales comprometidas tras ataque por fuerza bruta (consulta Activar y modificar la detección de IOAs), Advanced EDR ejecuta las acciones siguientes:

• Registra en cada equipo protegido los intentos de acceso remoto por RDP recibidos en las últimas 24 horas, cuyo origen se encuentra fuera de la red del cliente.

• Evalúa si el equipo está siendo sometido a un ataque por fuerza bruta a través de RDP.

• Detecta si alguna de las cuentas del equipo ya ha sido vulnerada para acceder a los recursos del equipo.

• Bloquea las conexiones RDP para mitigar el ataque.

IOA asociado a un ataque RDP

Advanced EDR muestra el IOA Ataque por fuerza bruta al RDP cuando se detecta un patrón de ataque mediante el protocolo RDP. En esta situación, el equipo ha recibido un gran volumen de conexiones RDP que intentan iniciar una sesión remota, pero que han terminado en fracaso por no contar con credenciales válidas.

Modos de contención RDP

Modo de Contención de ataque RDP inicial

Cuando un equipo protegido por Advanced EDR recibe una gran cantidad de intentos de conexión por RDP erróneos por carecer de credenciales válidas, el software de protección genera el IOA Ataque por fuerza bruta al RDP y configura el equipo en modo Contención de ataque RDP inicial. En este modo se bloquea el acceso por RDP al equipo desde aquellas IPs externas a la red del cliente que han tenido un mayor volumen de intentos de conexión durante las 24 últimas horas. Para permitir el acceso de una o varias de estas IPs, utiliza la lista IPs de confianza de la configuración Indicadores de ataque IOA. Consulta IPs de confianza.

Modo de Contención de ataque RDP restrictivo

Se activa cuando un equipo protegido por Advanced EDR que ya se encuentra en el modo Contención de ataque RDP inicial registra un inicio de sesión correcto con una cuenta que anteriormente registró errores por falta de credenciales válidas. En este momento, el software de protección genera el IOA Credenciales comprometidas tras ataque por fuerza bruta al RDP y se considera que la cuenta ha sido vulnerada. Como mecanismo de mitigación, se bloquean todas las conexiones RDP desde el exterior que hayan intentado conectar por lo menos una vez con el equipo atacado en las 24 horas anteriores.

Configurar la respuesta a un ataque RDP

Cuando Advanced EDR detecta un ataque o una intrusión RDP, tiene dos opciones de respuesta: informar únicamente, o informar y proteger al equipo del ataque.

Para configurar la respuesta a un ataque RDP:

• En la configuración Indicadores de ataque asignada al equipo haz clic en el enlace Configuración avanzada de la sección Ataque por fuerza bruta al RDP / Credenciales comprometidas tras ataque por fuerza bruta. Se mostrarán las opciones de configuración asociadas a este tipo de IOA.

• Establece la opción adecuada en Respuesta en estación y / o Respuesta en servidores:

  • Informar y bloquear ataques RDP: Advanced EDR muestra en la consola el IOA Ataque por fuerza bruta al RDP y además establece el modo de contención apropiado para el equipo atacado.

  • Solo informar: Advanced EDR solo muestra en la consola el IOA Ataque por fuerza bruta al RDP.

Para obtener más información consulta Opciones de configuración de Indicadores de ataque (IOA).

Localizar los equipos de la red en modo Contención de ataque RDP

La consola localiza los equipos en modo contención mediante los recursos siguientes:

• Con la serie XX Equipos en modo contención de ataque RDP en el widget Servicio Threat Hunting. Consulta Servicio Threat Hunting.

• Con los filtros del listado Estado de protección de los equipos. Consulta Estado de protección de los equipos.

• En el listado exportado de Estado de protección de los equipos. ConsultaEstado de protección de los equipos.

• Con un filtro en el árbol de equipos. Consulta Equipos en modo Contención de ataque RDP.

Visualizar el estado de contención de los equipos

La consola muestra el estado de contención de los equipos en los recursos siguientes:

• En el listado Estado de protección de los equipos: mediante el icono . Consulta Estado de protección de los equipos.

• En el listado exportado de Estado de protección de los equipos: en la columna Modo “Contención de ataque RDP”. Consulta Estado de protección de los equipos.

• En el listado Estado de cifrado: mediante el icono . Consulta Estado del cifrado

• En el listado exportado de Estado de cifrado: en la columna Modo “Contención de ataque RDP”. Consulta Estado del cifrado.

• En el listado Estado de gestión de parches: mediante el icono . Consulta Estado de gestión de parches.

• En el listado exportado de Estado de gestión de parches: en la columna Modo “Contención de ataque RDP”. Consulta Estado de gestión de parches.

• En el listado Estado de Data Control: mediante el icono . Consulta Estado de Cytomic Data Watch.

• En el listado exportado de Estado de Data Control: en la columna Modo “Contención de ataque RDP”. Consulta Estado de Cytomic Data Watch.

• En el Listado de equipos: mediante el icono . Consulta Listado de equipos.

• En el Listado exportado de equipos: en la columna Modo “Contención de ataque RDP” Consulta Listado de equipos.

• En el Listado de Indicadores de ataque (IOA): en la columna Acción. Consulta Indicadores de ataque (IOA).

• En el listado exportado de Listado de Indicadores de ataque (IOA): en la columna Acción. Consulta Indicadores de ataque (IOA).

• En la alertas de la ventana Información del equipo. Consulta Equipo en estado de contención .

• En la ventana Detalle del IOA: en el campo Equipo. Consulta Ventana de detalle.

Finalización automática del estado de Contención de ataque RDP

A las 24 horas del inicio del estado de contención, Advanced EDR evalúa el volumen de intentos de conexión por RDP. Si se mantiene por debajo de ciertos umbrales, se retira el estado de contención, si no es así, se extiende durante 24 horas más.

Las IPs bloqueadas en el modo de contención continuarán bloqueadas aunque haya finalizado el ataque RDP. De esta manera, con el paso del tiempo, el software de seguridad aprende las IPs que los cibercriminales utilizan para atacar la red del cliente y, cuando todas ellas hayan sido bloqueadas, el ataque quedará sin efecto y ya no será necesario mantener el modo de contención.

Finalizar manualmente el estado de Contención de ataque RDP

Si el administrador considera que su red ha sido asegurada y ya no existe peligro de ataques por RDP, puede revertir el bloqueo de forma manual:

• Desde los listados indicados en Visualizar el estado de contención de los equipos:

  • Abre uno de los listados y selecciona las casillas asociadas a los equipos. Se muestra la barra de herramientas.

  • Haz clic en el icono Finalizar el modo Contención de ataque RDP .

O bien:

• Haz clic en el menú de contexto situado a la derecha del equipo. Se muestra un desplegable con las opciones disponibles.

• Selecciona la opción Finalizar el modo Contención de ataque RDP .

• Desde la ventana de información del equipo

  • Abre uno de los listados indicados en Visualizar el estado de contención de los equipos y haz clic en el equipo. Se mostrará la ventana de Información de equipo.

  • Haz clic en el botón Finalizar modo “Contención de ataque RDP”.

Una vez iniciado el proceso de finalización manual del modo de contención, la consola de administración envía el comando de forma inmediata a los equipos involucrados. En función de si el equipo es accesible y de si está disponible la funcionalidad de tiempo real la acción se ejecuta en el momento o el equipo pasa al estado Finalizando el modo de contención RDP, en cuyo caso mostrará:

• Un icono parpadeante en los listados indicados en Visualizar el estado de contención de los equipos.

• Un mensaje de advertencia en la ventana de Información del equipo.

• Un mensaje de advertencia en la ventana de Detalle del IOA.

Consulta Configuración de la comunicación en tiempo real.

Se considera que el equipo continua en estado de contención hasta que el comando no es aplicado de forma correcta. Si se produce un problema, se vuelve a intentar cada 4 horas durante los siguientes 7 días. Si la acción no se completa, la consola vuelve a mostrar el estado Contención de ataque RDP.

Una vez finalizado de forma manual el estado de contención, se ejecutan las acciones siguientes:

• Todas las IPs registradas y bloqueados en el equipo se liberan, y la tecnología queda como si no hubiera sido utilizada previamente.

• El equipo deja de bloquear conexiones RDP.

Estas acciones solo se ejecutan cuando se finaliza manualmente el estado de Contención de ataque RDP. Si el software de seguridad determina de forma automática que el equipo ya no esta bajo un ataque de tipo RDP, finalizará el estado de contención pero no liberará las IPs registradas ni, por lo tanto, dejará de bloquearlas.