NSA og CISA har gitt ut en detaljert veiledning om hvordan mennesker og organisasjoner skal velge virtuelle private nettverk (VPN) ettersom både nasjonalstater og nettkriminelle øker utnyttelsen av verktøyene midt i et globalt skifte til fjernarbeid og skolegang.
Faktabladet på ni sider inneholder også detaljer om måter å distribuere et VPN på en sikker måte. NSA sa i en uttalelse at guiden også ville være nyttig for ledere i forsvarsdepartementet, nasjonale sikkerhetssystemer og forsvarets industrielle base, slik at de kan “bedre forstå risikoen forbundet med VPN -er.”
NSA sa at flere nasjonalstatens APT-aktører har bevæpnet vanlige sårbarheter og eksponeringer for å få tilgang til sårbare VPN-enheter, slik at de kan stjele legitimasjon, ekstern kjøre kode, svekke kryptert trafikkens kryptografi, kapre krypterte trafikkøkter og lese sensitive data fra en enhet.
NSA-direktør Rob Joyce sa til Aspen Cybersecurity Summit denne uken at “flere nasjonalstatsaktører utnytter CVE-er for å kompromittere sårbare Virtual Private Networks-enheter.”
Han skrev på Twitter at VPN -servere er inngangspunkter til beskyttede nettverk, noe som gjør dem til attraktive mål.
“APT -aktører har og vil utnytte VPN -er – den siste veiledningen fra NSA og @CISAgov kan bidra til å krympe angrepsflaten. Invester i din egen beskyttelse!” han la til.
CISA-direktør Jen Easterly gjentok Joyces kommentarer og delte det samme budskapet om nasjonalstatutbytte.
Meldingen inkluderte en liste over “testede og validerte” VPN-produkter på listen over produktkompatible nasjonale informasjonssikringspartnerskap, hvorav mange bruker flerfaktorautentisering og raskt bruker oppdateringer og oppdateringer.
Eksperter hyllet CISA og NSA for å lage listen. Chester Wisniewski, en hovedforsker ved Sophos, sa til ZDNet at det for lenge ikke har vært en klarert stemme på VPN -er uten en egeninteresse i å selge deg noe.
“Å kombinere kunnskapen og erfaringen fra NSA med CISAs oppgave å hjelpe til med å beskytte den amerikanske private sektoren, setter dem i en god posisjon til å gi pålitelige råd om hvordan de skal være trygge mot kriminelle aktører,” sa Wisniewski.
Han bemerket at rådene i stor grad er kopiert fra forslag fra forsvarsentreprenører og lignende enheter.
“Det er gode råd, men utrolig komplisert og belastende for de fleste kommersielle enheter. Ingen av det som er sagt er feil, men det krever mye omtanke og mye prosess å overholde,” la Wisniewski til.
“De fleste organisasjoner er ute av stand til å følge mange av rådene. Å gjøre VPN-er riktig er veldig vanskelig, som vist i dette dokumentet, så jeg vil oppfordre organisasjoner til å forfølge nulltillit til nettverkstilgang og SD-WAN som en mer praktisk måte å oppnå lignende mål. I stedet for å gjenoppbygge hele VPN -strategien din for å fortsette å gjøre det på den gamle måten, kan du like godt bruke den samme tiden/ressursene på å modernisere tilnærmingen til ekstern tilgang og høste fordelene i stedet for bare å gå på den gamle måten. “
Untangle senior visepresident Heather Paunet bemerket at cyberangrep på VPN er svært kostbare på grunn av potensielle løsepenger eller data som er tilgjengelig, slik det ble sett med Pulse Secure VPN -utnyttelsen i april som kompromitterte offentlige etater og selskaper i USA og Europa.
Selv om det har vært en økning i sårbarheter for VPN -er på grunn av mer VPN -bruk i løpet av det siste halvannet året, utvikler nyere VPN -teknologier med nyere typer kryptografi seg for å sikre beskyttelse av informasjon som overføres over internett, sa Paunet og la merke til populære verktøy som WireGuard VPN som bruker kryptografi.
“Det som mangler i retningslinjene tar hensyn til det menneskelige elementet. I tillegg til å følge de strenge retningslinjene, blir IT -fagfolk også utfordret med å få ansatte til å bruke teknologien effektivt. Hvis VPN er for vanskelig å bruk eller bremser systemer, vil den ansatte sannsynligvis slå den av, sier Paunet.
“Utfordringen for IT -fagfolk er å finne en VPN -løsning som passer retningslinjene, men også er rask og pålitelig slik at ansatte slår den på en gang og glemmer det.”
Archie Agarwal, administrerende direktør i ThreatModeler, bemerket at et raskt søk på Shodan -søkemotoren avslører over en million VPN -er på Internett i USA alene, og gir en døråpning til private sensitive interne nettverk som sitter utsatt for verden for alle som kan prøve å slå gjennom.
“Disse representerer det gamle omkretssikkerhetsparadigmet og har ikke klart å beskytte det indre slottet igjen og igjen. Hvis legitimasjon lekker eller stjeles, eller nye sårbarheter oppdages, er spillet tapt og slottet faller,” sa Agarwal.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 