NSA och CISA har släppt en detaljerad guide om hur människor och organisationer ska välja virtuella privata nätverk (VPN) eftersom både nationalstater och cyberkriminella ökar deras utnyttjande av verktygen mitt i en global övergång till distansarbete och skolgång.
Faktabladet på nio sidor innehåller också detaljer om sätt att distribuera en VPN på ett säkert sätt. NSA sa i ett uttalande att guiden också skulle vara till hjälp för ledare inom försvarsdepartementet, nationella säkerhetssystem och försvarsindustrins bas så att de kan “bättre förstå riskerna med VPN: er”.
NSA sa att flera nationalstat APT-aktörer har beväpnat gemensamma sårbarheter och exponeringar för att få tillgång till sårbara VPN-enheter, så att de kan stjäla referenser, fjärrköra kod, försvaga krypterad trafiks kryptografi, kapa krypterade trafiksessioner och läsa känslig data från en enhet.
NSA-chefen Rob Joyce sa till Aspen Cybersecurity Summit den här veckan att “flera nationalstatliga aktörer utnyttjar CVE: er för att kompromissa med sårbara enheter för virtuella privata nätverk.”
Han skrev på Twitter att VPN -servrar är ingångspunkter till skyddade nätverk, vilket gör dem attraktiva mål.
“APT -aktörer har och kommer att utnyttja VPN – den senaste vägledningen från NSA och @CISAgov kan hjälpa till att krympa din attackyta. Investera i ditt eget skydd!” han lade till.
CISA-chefen Jen Easterly upprepade Joyces kommentarer och delade samma budskap om exploatering av nationalstater.
Meddelandet innehöll en lista över “testade och validerade” VPN-produkter på listan över produktkompatibla nationella informationssäkringspartnerskap, varav många använder multifaktorautentisering och omedelbart använder patchar och uppdateringar.
Experter hyllade CISA och NSA för att ha skapat listan. Chester Wisniewski, en huvudforskare vid Sophos, berättade för ZDNet att det för länge inte har funnits en betrodd röst på VPN utan ett eget intresse av att sälja något till dig.
“Genom att kombinera NSA: s kunskap och erfarenhet med CISA: s uppdrag att hjälpa till att skydda den privata sektorn i USA har de en bra position för att ge pålitliga råd om hur de ska vara säkra mot kriminella aktörer”, säger Wisniewski.
Han noterade att råden till stor del kopieras från förslag som lämnats till försvarsentreprenörer och liknande enheter.
“Det är bra råd, men otroligt komplicerat och betungande för de flesta kommersiella enheter. Inget av det som sägs är fel, men det kräver mycket eftertanke och mycket process att följa”, tillade Wisniewski.
“De flesta organisationer är oförmögna att följa mycket av råden. Att göra VPN: er rätt är riktigt svårt, vilket visas i detta dokument, så jag skulle uppmana organisationer att fortsätta med nolltillit till nätverksåtkomst och SD-WAN som ett mer praktiskt sätt att uppnå liknande mål. I stället för att bygga om hela din VPN -strategi för att fortsätta göra det på det gamla sättet, kan du lika gärna spendera samma tid/resurser för att modernisera din inställning till fjärråtkomst och skörda fördelarna snarare än att bara stärka den gamla vägen. “
Untangle senior vice president Heather Paunet noterade att cyberattacker på VPN är mycket kostsamma på grund av potentiella lösensummor eller data som nås, vilket ses med Pulse Secure VPN -utnyttjandet i april som äventyrade myndigheter och företag i USA och Europa.
Även om det har ökat sårbarheten hos VPN på grund av mer VPN -användning under det senaste ett och ett halvt året, utvecklas nyare VPN -teknik med nyare typer av kryptografi för att säkerställa skyddet av information som överförs över internet, sa Paunet och noterade populära verktyg som WireGuard VPN som använder kryptografi.
“Det som saknas i riktlinjerna tar hänsyn till det mänskliga elementet. Tillsammans med att följa de strikta riktlinjerna utmanas också IT -proffs med att få anställda att effektivt använda tekniken. Om VPN är för svårt att använda eller bromsa system, den anställde kommer sannolikt att stänga av det, säger Paunet.
“Utmaningen för IT -proffs är att hitta en VPN -lösning som passar riktlinjerna, men som också är snabb och pålitlig så att anställda slår på den en gång och glömmer bort den.”
Archie Agarwal, VD på ThreatModeler, noterade att en snabb sökning på Shodan -sökmotorn avslöjar över en miljon VPN på Internet enbart i USA, vilket ger en dörröppning till privata känsliga interna nätverk som sitter utsatta för världen för alla att försöka slå igenom.
“Dessa representerar det gamla omkretssäkerhetsparadigmet och har misslyckats med att skydda det inre slottet om och om igen. Om referenser läcker ut eller blir stulna, eller nya sårbarheter upptäcks, går spelet förlorat och slottet faller,” sa Agarwal.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Datahantering Säkerhet TV CXO -datacenter 