Para provedores de serviços de segurança gerenciados (MSSPs), gerenciar programas de cibersegurança em múltiplos ambientes de clientes pode ser uma tarefa desafiadora. Alternar entre contas de
Uma das mudanças mais notáveis nos crimes cibernéticos desde o início do século XXI foi o amadurecimento do setor ilegal, desde hackers individuais até empresas lucrativas completas. O E-Root, um mercado ilegal global, foi derrubado por agentes da lei em 2020, mas recentemente virou notícia quando seu administrador foi condenado a 20 anos de prisão por vender contas roubadas de Remote Desktop Protocol (RDP) e Secure Shell (SSH).
O E-Root se especializou em facilitar a venda de diversos produtos digitais, incluindo credenciais roubadas e acesso a servidores comprometidos. Os compradores poderiam utilizar ferramentas de pesquisa com filtros para navegar no mercado, com critérios como ISP, sistema operacional, acesso RDP ou SSH, entre outros. A organização cibercriminosa operava em uma rede amplamente distribuída para melhorar a resiliência e evasão, incorporando proteções para mascarar as identidades reais de fornecedores, compradores e administradores.
Esse incidente serve como um lembrete claro da importância de proteger acessos privilegiados para impedir violações de dados, pois as ameaças cibernéticas continuam evoluindo e aumentando.
Remote Desktop Protocol
O RDP é um protocolo de comunicação de rede que permite aos usuários uma conexão remota com os computadores locais de uma organização através do sistema operacional Windows. Ele também é utilizado por equipes de TI para realizar manutenção de servidores e outras tarefas remotamente.
O RDP opera como um segredo de infraestrutura utilizado por humanos, geralmente administradores de TI e equipes de DevOps, embora às vezes usuários finais comuns utilizem o RDP para acessar arquivos remotamente.
Apesar do RDP ser uma ferramenta valiosa para a administração remota, ele torna-se um risco de segurança considerável quando explorado por cibercriminosos. Há anos, senhas de RDP comprometidas têm sido o vetor mais comum para infecções de ransomware.
Os ataques de ransomware não são a única coisa ruim que pode acontecer se uma senha de RDP for comprometida. Quando um malfeitor viola um RDP, ele pode utilizar ferramentas de software e scripts de linha de comando para encontrar e roubar mais credenciais, driblar a rede da organização e acessar seus arquivos. Ele pode roubar esses arquivos, modificá-los ou fazer o que quiser.
Secure Shell
O SSH é um protocolo de rede criptográfico utilizado para comunicação de dados segura, login remoto de linha de comando e outros serviços de rede segura entre dois computadores em rede. Chaves SSH e outras credenciais de conexão são recursos vitais para equipes de DevOps e DevSecOps, amplamente utilizadas para acesso seguro a servidores.
Utilizar chaves SSH e outras credenciais de forma segura é um desafio. Transportar chaves através de uma rede ou entre usuários traz riscos.
Como resultado, contas SSH comprometidas podem ser exploradas para obter controle não autorizado sobre os servidores e dados confidenciais de uma empresa.
Se a única maneira de roubar contas RDP e SSH é através de conexões remotas inseguras, há uma maneira eficaz de evitar isso?
Adotando medidas para impedir que contas RDP e SSH acabem disponíveis na dark web
Organizações dependem amplamente do RDP e SSH para operações suaves, tornando-as alvos principais para cibercriminosos. Contas roubadas frequentemente acabam em mercados da dark web, como o E-Root.
Embora a derrubada do E-Root tenha sido uma ação positiva, muitos outros mercados ilícitos persistem, ressaltando a ameaça constante. Para proteger credenciais de SSH e RDP contra roubo e uso indevido, organizações devem tomar as seguintes medidas proativas:
- Proteger contas privilegiadas: implemente medidas robustas para definir, gerenciar e proteger contas com acesso elevado a sistemas de TI. Isso envolve o armazenamento de senhas e segredos em um cofre seguro, juntamente a controles de acesso baseado em função para restringir credenciais confidenciais apenas aos indivíduos que absolutamente precisam acessá-las.
- Aplicar o princípio do privilégio mínimo: limite os direitos de acesso para usuários, aplicativos e sistemas concedendo apenas os níveis mínimos de acesso necessários para que funcionários realizem suas tarefas. Com o privilégio mínimo, organizações podem minimizar o risco de acesso autorizado e possível uso indevido.
- Troca de credenciais: troque as credenciais regularmente para reduzir as ameaças de segurança associadas a rescisões de funcionários, violações, exposições na dark web e muito mais. Essa prática melhora a segurança minimizando a janela de oportunidades para que malfeitores explorem credenciais comprometidas.
- Gerenciar sessões privilegiadas: garanta que a infraestrutura crítica seja acessada por meio do gerenciamento de sessões de contas privilegiadas. Todas as sessões devem ser seguras, e as credenciais devem permanecer ocultas dos usuários finais para evitar acessos não autorizados.
O Keeper® é a melhor opção para proteger contas RDP e SSH.
A solução de gerenciamento de acesso privilegiado (PAM) da Keeper Security é uma plataforma de última geração para impedir acessos não autorizados a sistemas e dados críticos. O KeeperPAM™ protege todas as suas contas RDP e SSH, certificados digitais e outros tokens de conexão confidenciais. A arquitetura de confiança zero e conhecimento zero do Keeper significa que seus segredos, credenciais e conexões remotas são acessíveis apenas por indivíduos autorizados.
O Keeper Secrets Manager (KSM) permite que equipes de DevOps e DevSecOps criem acessos programáticos dinâmicos aos seus segredos e credenciais em seus sistemas, sem a necessidade de adquirir e instalar novos hardwares ou um software de agente. O KSM opera na nuvem com conexões pré-configuradas para as melhores ferramentas do setor. Isso facilita uma integração perfeita do KSM à pilha de tecnologias atual de uma organização, eliminando a necessidade de dispositivos adicionais ao implantar a arquitetura de confiança zero e conhecimento zero do Keeper para obter o mais alto nível de segurança.
O Keeper Connection Manager (KCM) fornece a equipes de TI e DevOps acesso simples e seguro a terminais RDP, SSH, bancos de dados e Kubernetes, sem a necessidade de uma VPN. Com o KCM, não há agentes, o seu navegador da web é o cliente e não há impacto nos seus controladores de domínio ou outros serviços. Os usuários podem acessar apenas conexões para as quais o administrador concedeu controle de acesso granular.
O Keeper Enterprise Password Manager (EPM) fornece às equipes de TI visibilidade e controle totais sobre os hábitos de senhas de seus usuários. Cada usuário é provisionado com um cofre digital para armazenar e compartilhar credenciais, chaves de acesso, arquivos confidenciais e muito mais. O Keeper também pode ser integrado com provedores de SSO e autenticação sem senha para oferecer uma experiência de autenticação sem senha de ponto a ponto.
Solicite uma demonstração do Keeper hoje para proteger sua organização.