КОМАНДА, которой ДОВЕРЯЮТ 18 лет

(347) 252-52-08           252-52-17          252-38-98          252-34-36          252-50-67         252-55-50   


ВНИМАНИЕ – ОПАСНОСТЬ!

ВНИМАНИЕ – ОПАСНОСТЬ!

ПРОЯВЛЕНИЯ:


попытки (удачные или неудачные – зависит от уровня защиты) несанкционированного доступа к терминальными серверам или рабочим станциям, доступным из сети Интернет  по протоколу RDP (Remote Desktop Protocol), отвечающему за  подключение к удаленному рабочему столу.

Если говорить более понятным всем, а не только специалистам, языком – если в Вашей компании открыта возможность для подключения к офисной сети пользователям, находящимся за пределами офиса, через Интернет – это потенциальная угроза для Вас. Обиднее всего, когда такая возможность открыта по умолчанию, ни НИКЕМ в компании не используется – зато прекрасно используется злоумышленниками.

В итоге в Вашей сети начинает творится что-то, ненужное Вам.

·         Минимальный ущерб – если злоумышленник смог подобрать пароль для доступа к удаленному рабочему столу – он сможет получить доступ ко всему, к чему имел сам пользователь: к документам, почте, базам данных и т.п.

·         максимальный – если   удастся подобрать пароль к административной учетной записи – это даст полный доступ ко всем данным компании  - и тогда ему доступно все, что должно быть доступно только Вам.

Уровень ущерба зависит от базовых настроек системы защиты и регулярности проверок текущего состояния систем защиты.

 
ДОКУМЕНТАЛЬНОЕ ПОДТВЕРЖДЕНИЕ

В журнале событий “Система” фиксируются события: от источника TermService с кодом 1012 - “Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.“

Сложнее, если у Вас отключено и/или не настроено изначально  ведение журнала событий, и Вы уже подозреваете, что стали жертвой такой атаки и  в сети происходят непонятные события.

Нет безвыходных ситуаций  –   запросите у Вашего интернет-провайдера детальную сетевую статистику  - это позволит выявить адреса, откуда были попытки доступа к Вашей сети – все провайдеры ведут ее в обязательном порядке и обязаны предоставить Вам по Вашему официальному запросу

 
НАШИ РЕКОМЕНДАЦИИ:

1.      ЗАПРЕТИТЬ  делать службу удаленных рабочих столов доступной из любой точки интернета

2.      Включить ведение журнала событий в системе и регулярно (не реже раза в неделю для малых сетей,  ежедневно  для средних и несколько раз в день для крупных) просматривать их на наличие аномалий

3.      ограничить список адресов, с которых можно удаленно подключаться к офисной сети – только НУЖНЫМИ адресами

4.      использовать только защищенные каналы удаленного доступа (VPN)

5.      назначить сложные пароли всем учетным записям, которым разрешен вход через удаленные рабочие столы (то есть через сочетание разных регистров, цифр, букв и символов, а не просто 111 или слово ПАРОЛЬ на англ регистре)

6.      ввести систему контроля  доступа и парольной защиты  или хотя бы донести до всех сотрудников (лучше через официальный приказ) минимальные правила, изложенные в наших рекомендациях

7.      производить  смену паролей всем пользователям минимум через 3-6 месяцев (рекомендуем этот процесс автоматизировать – так будет проще всем)

8.      настроить политику аудита (контроля) успешных и неудачных попыток входа в систему и – это важно – регулярно ПРОСМАТРИВАТЬ ее и, обнаружив опасность,  сразу исправлять ее

9.      помнить, что ПРОФИЛАКТИКА всегда дешевле и проще чем лечение, и принимать меры по защите того, что Вам дорого – ЗАРАНЕЕ

10.  если Вам нужна наша помощь - –   ЗВОНИТЕ (ссылка http://www.airrb.ru/useful/call/ ) и/или  ЗАДАВАЙТЕ ВОПРОСЫ (ссылка http://www.airrb.ru/useful/request/ )