NSA og CISA har udgivet en detaljeret vejledning om, hvordan mennesker og organisationer skal vælge virtuelle private netværk (VPN), da både nationalstater og cyberkriminelle øger deres udnyttelse af værktøjerne midt i et globalt skift til fjernarbejde og skolegang.
Faktabladet på ni sider indeholder også oplysninger om måder at implementere en VPN sikkert på. NSA sagde i en erklæring, at guiden også ville være nyttig for ledere i forsvarsministeriet, nationale sikkerhedssystemer og forsvarets industrielle base, så de kan “bedre forstå de risici, der er forbundet med VPN'er.”
NSA sagde, at flere nationalstaters APT-aktører har våbnet almindelige sårbarheder og eksponeringer for at få adgang til sårbare VPN-enheder, så de kan stjæle legitimationsoplysninger, eksternt udføre kode, svække krypteret trafiks kryptografi, kapre krypterede trafiksessioner og læse følsomme data fra en enhed.
NSA-direktør Rob Joyce fortalte i Aspen Cybersecurity Summit i denne uge, at “flere nationalstatsaktører udnytter CVE'er til at kompromittere sårbare virtuelle private netværksenheder.”
Han skrev på Twitter, at VPN -servere er indgangspunkter til beskyttede netværk, hvilket gør dem til attraktive mål.
“APT -aktører har og vil udnytte VPN'er – den seneste vejledning fra NSA og @CISAgov kan hjælpe med at skrumpe din angrebsoverflade. Invester i din egen beskyttelse!” han tilføjede.
CISA-direktør Jen Easterly gentog Joyces bemærkninger og delte det samme budskab om udnyttelse af nationalstater.
Meddelelsen indeholdt en liste over “testede og validerede” VPN-produkter på den nationale informationssikringspartnerskabsproduktliste, hvoraf mange bruger multifaktorgodkendelse og straks anvender patches og opdateringer.
Eksperter roste CISA og NSA for at oprette listen. Chester Wisniewski, en hovedforsker ved Sophos, fortalte ZDNet, at der for længe ikke har været en betroet stemme på VPN'er uden en interesse i at sælge dig noget.
“Kombinationen af viden og erfaring fra NSA med CISA's opgave at hjælpe med at beskytte den amerikanske private sektor sætter dem i en god position til at give pålidelig rådgivning om at være i sikkerhed mod kriminelle aktører,” sagde Wisniewski.
Han bemærkede, at rådene i vid udstrækning er kopieret fra forslag fra forsvarsentreprenører og lignende enheder.
“Det er et godt råd, men utrolig kompliceret og byrdefuldt for de fleste kommercielle enheder. Intet af det, der siges, er forkert, men det kræver meget omtanke og meget proces at overholde,” tilføjede Wisniewski.
“De fleste organisationer er ude af stand til at følge mange af rådene. Det er virkelig svært at gøre VPN'er rigtigt, som det fremgår af dette dokument, så jeg vil opfordre organisationer til at forfølge nulstillidsnetværksadgang og SD-WAN som en mere praktisk måde at nå lignende mål på. I stedet for at genopbygge hele din VPN -strategi for at fortsætte med at gøre det på den gamle måde, kan du lige så godt bruge den samme tid/ressourcer på at modernisere din tilgang til fjernadgang og høste fordelene i stedet for blot at stramme op på den gamle måde. “
Untangle senior vicepræsident Heather Paunet bemærkede, at cyberangreb på VPN'er er meget dyre på grund af potentielle løsesum eller adgang til data, som det blev set med Pulse Secure VPN -udnyttelsen i april, der kompromitterede offentlige organer og virksomheder i USA og Europa.
Selvom der har været en stigning i sårbarheder for VPN'er på grund af mere VPN -brug i løbet af det sidste halvandet år, udvikler nyere VPN -teknologier med nyere typer kryptografi sig for at sikre beskyttelsen af oplysninger, der overføres på tværs af internettet, sagde Paunet og noterede populære værktøjer ligesom WireGuard VPN, der bruger kryptografi.
“Det, der mangler i retningslinjerne, tager det menneskelige element i betragtning. Udover at følge de strenge retningslinjer bliver IT -fagfolk også udfordret med at få medarbejdere til effektivt at bruge teknologien. Hvis VPN'en er for vanskelig at bruge eller bremse systemer, vil medarbejderen sandsynligvis slukke det, “sagde Paunet.
“Udfordringen for it -fagfolk er at finde en VPN -løsning, der passer til retningslinjerne, men også er hurtig og pålidelig, så medarbejderne tænder det en gang og glemmer det.”
Archie Agarwal, CEO hos ThreatModeler, bemærkede, at en hurtig søgning på søgemaskinen Shodan afslører over en million VPN'er på Internettet alene i USA, hvilket giver en døråbning til private følsomme interne netværk, der sidder udsat for verden, så alle kan prøve at bryde igennem.
“Disse repræsenterer det gamle perimeter -sikkerhedsparadigme og har ikke formået at beskytte det indre slot igen og igen. Hvis legitimationsoplysninger lækker eller stjæles, eller nye sårbarheder opdages, er spillet tabt, og slottet falder,” sagde Agarwal.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Datastyring Sikkerhed TV CXO datacentre 