Protección frente ataques RDP

Advanced EPDR genera un incidente cuando detecta y bloquea el tráfico de equipos que utilizan el protocolo RDP (Remote Desktop Protocol) como vector de infección:

  • Registra en cada equipo protegido los intentos de acceso remoto por RDP en las últimas 24 horas, cuyo origen se encuentra fuera de la red del cliente.

  • Evalúa si el equipo está siendo sometido a un ataque por fuerza bruta a través de RDP.

  • Detecta si alguna de las cuentas del equipo ya ha sido vulnerada para acceder a los recursos del equipo.

  • Bloquea las conexiones RDP para mitigar el ataque.

Este tema trata:

Modos de contención RDP

La protección RDP pasa por los siguientes estados:

Modo de Contención de ataque RDP inicial

Cuando un equipo protegido por Advanced EPDR recibe una gran cantidad de intentos de conexión por RDP, el software de protección configura el equipo en modo Contención de ataque RDP inicial. En este modo bloquea el acceso por RDP desde las IPs externas a la red del cliente que han tenido un mayor volumen de intentos de conexión durante las últimas 24 horas.

Modo de Contención de ataque RDP restrictivo

Cuando un equipo en modo Contención de ataque RDP inicial registra un inicio de sesión correcto con una cuenta que anteriormente no pudo completar la conexión, Advanced EPDR genera un incidente y considera que la cuenta ha sido vulnerada. Dependiendo de la configuración que has elegido, bloqueará los dispositivos que han intentado conectar por RDP desde el exterior en las últimas 24 horas. Consulta Configuración de indicadores de ataque.

Finalizar automáticamente el estado de contención de ataque RDP

A las 24 horas del inicio del estado de contención, Advanced EPDR evalúa el volumen de intentos de conexión por RDP. Si se mantiene por debajo de ciertos umbrales, el estado de contención terminará automáticamente. Si no es así, se extenderá durante 24 horas más.

Las IPs bloqueadas en el modo de contención restrictivo continuarán bloqueadas aunque haya finalizado el ataque RDP. El software de seguridad aprenderá las IPs que los cibercriminales están utilizando para atacar la red del cliente y, a medida que van siendo bloqueadas, el ataque quedará sin efecto y el modo de contención finalizará.

Si Advanced EPDR determina de forma automática que el equipo ya no esta bajo un ataque de tipo RDP, finalizará el estado de contención pero no liberará las IPs registradas ni, por lo tanto, dejará de bloquearlas.

Finalizar manualmente el estado de Contención de ataque RDP

Para revertir el bloqueo de forma manual desde un listado:

  • Abre el listado y selecciona las casillas junto a los equipos que quieres desbloquear. Se mostrará la barra de herramientas.

  • Haz clic en el icono Finalizar el modo Contención de ataque RDP. Si el equipo está accesible, la acción se ejecutará en el momento. Si no, el equipo pasará al estado Finalizando el modo de contención RDP y se vuelve a intentar cada 4 horas durante los siguientes 7 días.

Para revertir el bloqueo de forma manual desde la ventana de información del equipo:

  • Abre uno de los listados indicados en Localizar los equipos de la red en modo Contención de ataque RDP y haz clic en el equipo. Se mostrará la ventana de Información de equipo.

  • Haz clic en el botón Finalizar modo “Contención de ataque RDP”. Si el equipo está accesible, la acción se ejecutará en el momento. Si no, el equipo pasará al estado Finalizando el modo de contención RDP y se vuelve a intentar cada 4 horas durante los siguientes 7 días.

Una vez finalizado de forma manual el estado de contención, Advanced EPDR :

  • Libera todas las IPs registradas y bloqueados en el equipo, y deja la tecnología como si no hubiera sido utilizada previamente.

  • El equipo deja de bloquear las conexiones RDP desde equipos previamente bloqueados.

Localizar los equipos de la red en modo Contención de ataque RDP

La consola localiza los equipos en modo contención mediante los recursos siguientes: