RDP maakt 90.000 Nederlandse organisaties kwetsbaar

26-02-2020 | door: Wouter Hoeffnagel

RDP maakt 90.000 Nederlandse organisaties kwetsbaar

Bijna 90 duizend organisaties die gehost zijn in Nederland lopen een groot risico om gehackt te worden. Het gaat om RDP (Remote Desktop Protocol) endpoints die met behulp van openbaar beschikbare gegevens in kaart zijn gebracht. De endpoints zijn publiek toegankelijk via het internet zonder enige vorm van bescherming, waardoor ze een makkelijke prooi zijn voor hackers.

Dit blijkt uit onderzoek van Awingu naar de endpoint security van West-Europese bedrijven. RDP (in het Nederlands ook gekend als ‘Extern Bureaublad’ of gewoonweg ‘Remote Desktop’) is één van de meest gebruikte tools om toegang op afstand tot desktops en servers te faciliteren. Via de RDP client, een applicatie die op het apparaat van de gebruiker moet worden geïnstalleerd (bijvoorbeeld een laptop), geeft u gebruikers toegang tot een volledige desktop of applicatie van op afstand. Doorgaans stelt dit werknemers in staat om hun software zowel binnen als buiten het bedrijf te gebruiken.

Zonder beveiliging eenvoudig te hacken

Zonder toevoeging van de nodige beveiligingsmaatregelen (zoals firewallregels of access control lists) zijn deze echter relatief eenvoudig in te hacken als je eenmaal toegang hebt tot de 'poort' van de omgeving - die meestal niet publiekelijk beschikbaar is (en zou moeten zijn) en waarvoor bijvoorbeeld een VPN-verbinding nodig is om toegang te krijgen. In het geval van deze Belgische bedrijven is die poort (het inlogscherm) openbaar toegankelijk via het internet voor iedereen. Een hacker heeft slechts een paar rudimentaire hackingtools nodig om in te breken en toegang te hebben tot uw omgeving - en van daaruit kunnen ze toegang krijgen tot uw gegevens en deze stelen, commands uitvoeren, ransomware installeren en andere apparaten in hetzelfde netwerk besmetten.

We hebben het BBP toegevoegd als een maatstaf om landen enigzins te kunnen vergelijken. De gevonden resultaten zijn de volgende:

awingu-rdp-2020-grafiek.png

*note: Deze cijfers zijn inclusief public cloud infrastructuur zoals Google Cloud Platform & Microsoft Azure. Dat betekent dat landen als Nederland, die veel publieke clouds hosten, meer 'exposure' hebben. Klanten die in deze clouds draaien komen ook uit andere landen, wat de data een beetje scheeftrekt. Awingu meldt niet gemeten te hebben hoe groot deze effecten zijn.

Nederland op kop

Nederland staat relatief gezien op #1 met 89398 geïdentificeerde ‘open RDP’ omgevingen. Zelfs bij het weglaten van Azure servers (die ook de data van niet-Nederlandse bedrijven hosten, aangezien Azure Amsterdam het West-Europese deel van de Azure Geography beslaat) vonden we nog steeds 51.632 open endpoints, waardoor we niet kunnen zeggen dat de getallen enkel en alleen al door de public cloud omhoogschieten.

Het hoge cijfer is uiteraard ook gelinkt aan de hoge adoptie ratio van ‘server based computing’ (en dus RDP) in Nederland (meer datacenters, meer Windows-servers, een cultuur die het werken op afstand bevoordeelt). We kunnen met vertrouwen stellen dat er meer relatief gezien meer bedrijven ‘at risk’ zijn dan in alle andere regio's.

Move to cloud maakt dingen vaak erger

Men zou verwachten dat de public cloud (zoals Microsoft Azure) een positieve invloed heeft op de hoeveelheid open RDP endpoints - helaas, het tegenovergestelde is waar. Zoals blijkt uit de Nederlandse cijfers, waar 42% van de open endpoints in Azure werden gevonden, is het zeker niet zo dat je door de overgang naar een public cloud je zorgen vergeet. Dit leidt ook tot de conclusie dat bedrijven vaak een 'lift & shift' uitvoeren naar de public cloud, zonder rekening te houden met de juiste beveiligingsprocedures op hun on-prem of public cloud infrastructure.

Steven Dewinter, COO van Awingu: "Op het moment dat mensen naar de cloud gaan, vergeten ze alle best-practises op het gebied van beveiliging die ze op de computer gebruiken". Microsoft Azure staat erom bekend dat het veel "lift & shift" workloads host, en veel IT-beheerders kiezen voor de standaardinstelling als het gaat om RDP: alles ‘openzetten’. In een on-prem situatie moet je moeite doen om gegevens van buitenaf toegankelijk te maken, in een publieke cloud-instelling moet je moeite doen om gegevens van buitenaf ontoegankelijk te houden. Dat betekent dat een ‘move to the public cloud’ vaak omgevingen met zich meebrengt die veel opener en kwetsbaarder zijn dan ze zouden moeten zijn.

Geen merkbare verbetering in België

België scoort relatief gezien beter dan de andere landen in onze sample-studie (met een 5de plaats van de 6 bestudeerde landen). Er is echter geen relevante vooruitgang geboekt de afgelopen 15 maanden: Deze studie is een vervolg op een soortgelijke studiedat eind 2018 is uitgevoerd en waarbij Awingu 8803 open RDP-eindpunten ontdekte voor Belgie. Hoewel het aantal lichtelijk is verbeterd met 1,2%, noemt Awingu de situatie in België nog steeds 'zeer ernstig'. Awingu adviseert Belgische bedrijven zo snel mogelijk inspanningen worden geleverd om deze endpoints te beveiligen.

Uit de cijfers blijkt immers dat er weinig tot geen algemene kennis is over de gevaren die deze praktijken met zich meebrengen; als dat wel het geval zou zijn, zouden we een drastische daling van de open RDP-eindpunten moeten registreren, en niet een constante. Een andere les is dat deze open RDP-eindpunten overal aanwezig zijn: elk onderzocht West-Europees land had er een groot aantal en het is niet verwonderlijk dat de concentratie van open RDP-eindpunten rechtstreeks verband houdt met de bevolkingsdichtheid (de concentratie is daar waar de bedrijven geconcentreerd zijn). Dat betekent echter ook dat het niet regiospecifiek is, of gebonden aan bijvoorbeeld slechts een bepaald ISP.

Beveiliging bovenop RDP

Awingu biedt een alternatieve of aanvullende oplossing voor RDP om op afstand toegang te geven tot bedrijfsapplicaties. De 'unified workspace' is gebaseerd op het gebruik van een browser als client, waardoor een specifieke RDP-client niet meer nodig is en de toegang op afstand wordt uitgebreid tot een breed scala aan apparaten. Awingu biedt ook een multi-factor authenticatiesysteem, SSL-encryptie en abnormale profieldetectiefuncties bij de toegang tot de interne bronnen van het bedrijf. Meer informatie is beschikbaar op Awingu.com.

Terug naar nieuws overzicht

Tags

Security