Εντοπίστε συνεδρίες RDP με το Sophos Live Discover
Αν και αξιόπιστο και νόμιμο εργαλείο, το Remote Desktop Protocol (RDP) συχνά αποτελεί αντικείμενο εκμετάλλευσης από επιτήδειους που έχουν στόχο να εισχωρήσουν στο δικτυακό περιβάλλον ενός οργανισμού.
Μάλιστα μία πρόσφατη έρευνα της Sophos έδειξε ότι στο 9% των επιθέσεων ransomware, η μέθοδος που χρησιμοποιήθηκε από τους κυβερνοεγκληματίες ήταν το RDP.
Ευτυχώς, το Intercept X Advanced with EDR διευκολύνει σημαντικά τον εντοπισμό υπολογιστών ή τερματικών συσκευών που έχουν ανοιχτές συνεδρίες RDP και μπορεί να τις απενεργοποιήσει εξ αποστάσεως, και μάλιστα με τη χρήση μόνο μίας κονσόλας διαχείρισης.
To Sophos EDR ενσωματώνει το χαρακτηριστικό Live Discover, που αξιοποιεί ένα σύνολο από έτοιμα (pre-written), πλήρως προσαρμόσιμων SQL queries για να απαντά σε διάφορα ερωτήματα που σχετίζονται με λειτουργίες πληροφορικής ή με το κυνήγι απειλών (threat hunting).
Για να ξεκινήσετε, επιλέξτε τις συσκευές που επιθυμείτε να ελεγχθούν.
Αναλόγως τις ανάγκες σας, προσφέρεται ποικιλία από διαφορετικές κατηγορίες που μπορείτε να επιλέξετε. Φυσικά, υπάρχουν και μερικές επιλογές για RDP. Μπορείτε να προχωρήσετε στον εντοπισμό συσκευών με τρέχουσες διεργασίες που έχουν ενεργές συνδέσεις RDP ή να εντοπίσετε συσκευές που έχουν ενεργοποιημένο το RDP.
Στη συγκεκριμένη περίπτωση θα κάνουμε το δεύτερο οπότε πρόκειται να δημιουργήσουμε ένα σύντομο query για αυτή την εργασία. Μία γρήγορη αναζήτηση στο query sharing forum του Live Discovery θα μας δώσει ότι χρειαζόμαστε. Μετά από λίγα κλικ, έχουμε έτοιμο για να τρέξει το query μας (υπήρχε επίσης και η επιλογή ενός pre-written query για την ανίχνευση συσκευών με ενεργές συνδέσεις RDP).
Το query εντοπίζει μία συσκευή με ενεργοποιημένο RDP. Από την ίδια κονσόλα, μπορούμε να εκκινήσουμε ένα remote terminal session Live Response στη συσκευή που εντοπίστηκε και να χρησιμοποιήσει τη γραμμή εντολών για την απενεργοποίηση του RDP.
Όπως είδατε, ο εντοπισμός και η απενεργοποίηση συνεδριών RDP είναι τόσο απλή, και μπορεί να γίνει σε όλη την υποδομή σας, σε όλες τις τερματικές συσκευές και τους διακομιστές σας. Για να μάθετε περισσότερα για το Sophos EDR, επισκεφτείτε την ιστοσελίδα Sophos.com ή μπορείτε να ξεκινήσετε μόνοι σας μία δοκιμή 30 ημερών –χωρίς δεσμεύσεις.