Не работает блокировка атак. Идет брут RDP. Более 20 000 попыток взлома за день

[Эрик]

1. Windows Server 2016 1607
2. Kaspersky Endpoint security cloud 11.10.0.399AES56
3. Идет брут RDP. Более 20 000 попыток подбора пароля за день. в описании заявлено, что программа должна предотвращать попытки взлома. По факту этого не происходит. В настройках этот блок включен. Что не так?

[mike 1]

Если у вас наружу rdp открыт без какого-либо межсетевого экрана, vpn, то антивирус вас особо не спасет.

[Эрик]

  On 11/1/2022 at 6:55 PM, mike 1 said:

Если у вас наружу rdp открыт без какого-либо межсетевого экрана, vpn, то антивирус вас особо не спасет.

Expand  

Да, но у создателя антивиря заявлено, что попытки атаки должны пресекаться и блокироваться

[mike 1]

  On 11/1/2022 at 8:05 PM, Эрик said:

Да, но у создателя антивиря заявлено, что попытки атаки должны пресекаться и блокироваться

Expand  

Но это не значит, что все из них будут блокироваться. Для эффективной защиты L3 используются всё таки другие решения. 

[Эрик]

  On 11/2/2022 at 4:58 AM, mike 1 said:

Но это не значит, что все из них будут блокироваться. Для эффективной защиты L3 используются всё таки другие решения. 

Expand  

Они вообще не блокируются ) я проверил. Т.е. блок полностью не срабатывает на бруте RDP. Хотя вот в описании написано, что эффективно предотвращает атаки

 

[ElvinE5]

  On 11/2/2022 at 2:07 PM, Эрик said:

Они вообще не блокируются ) я проверил. Т.е. блок полностью не срабатывает на бруте RDP. Хотя вот в описании написано, что эффективно предотвращает атаки

 

Expand  

Увеличить время блокировки атакующих ... однако это не сильно поможет, так как атака наверняка осуществляется с множества разных адресов. Как говорили выше, вам необходима "убрать" ваш сервер торчащий в интернет, используйте VPN для подключения пользователь к серверу. 

 

[Эрик]

  On 11/3/2022 at 9:22 AM, ElvinE5 said:

Увеличить время блокировки атакующих ... однако это не сильно поможет, так как атака наверняка осуществляется с множества разных адресов. Как говорили выше, вам необходима "убрать" ваш сервер торчащий в интернет, используйте VPN для подключения пользователь к серверу. 

 

Expand  

проблема не в этом... они просто не блочатся
вообще
атакующих айпи всего 15, не так много
через сетевой экран вручную блочатся, а модуль защиты от атак не блочит вообще

[andrew75]

  On 11/3/2022 at 10:37 AM, Эрик said:

проблема не в этом... они просто не блочатся

Expand  

а где написано. что программа должна предотвращать брут RDP?

[Friend]

  On 11/3/2022 at 11:32 AM, andrew75 said:

программа должна предотвращать брут RDP?

Expand  

В целом это одна из основных функций компонента , а детектит обычно так: Bruteforce.Generic.Bruteforce.Generic.RDP

  On 11/2/2022 at 2:07 PM, Эрик said:

Они вообще не блокируются ) я проверил.

Expand  

Тогда нужно обращаться в поддержку и диагностировать проблему:  https://companyaccount.kaspersky.com/account/login

[Эрик]

  On 11/3/2022 at 12:52 PM, Friend said:

В целом это одна из основных функций компонента , а детектит обычно так: Bruteforce.Generic.Bruteforce.Generic.RDP

Тогда нужно обращаться в поддержку и диагностировать проблему:  https://companyaccount.kaspersky.com/account/login

Expand  

В саппорте сказали что это нормально, что 20 000 попыток в сутки это не считается атакой... Как-то так ) Т.е. в целом модуль защиты от брута не работает и не будет работать , странно что это заявлено

[Friend]

  On 11/11/2022 at 11:08 AM, Эрик said:

саппорте сказали что это нормально, что 20 000 попыток в сутки это не считается атакой

Expand  

Вы какие-нибудь логи отправляли или просто спросили? Может вас неправильно поняли?
Есть номер запроса?  Задавали вопрос какие они считают брутом (взломом) тогда?

[Эрик]

  On 11/11/2022 at 11:26 AM, Friend said:

Вы какие-нибудь логи отправляли или просто спросили? Может вас неправильно поняли?
Есть номер запроса?  Задавали вопрос какие они считают брутом (взломом) тогда?

Expand  

INC000014665978 номер обращения

Да, я задал вопрос на тему, что считается брутом и почему мой случай не брут, также предоставил все запрошенные данные. Жду ответа