L'NSA e la CISA hanno pubblicato una guida dettagliata su come le persone e le organizzazioni dovrebbero scegliere le reti private virtuali (VPN) poiché sia gli stati nazionali che i criminali informatici aumentano il loro sfruttamento degli strumenti in un passaggio globale al lavoro e alla scuola a distanza.
La scheda informativa di nove pagine include anche dettagli sui modi per implementare una VPN in modo sicuro. La NSA ha affermato in una dichiarazione che la guida sarebbe utile anche ai leader del Dipartimento della Difesa, dei sistemi di sicurezza nazionale e della Base industriale della difesa in modo che possano “comprendere meglio i rischi associati alle VPN”.
La NSA ha affermato che più attori dell'APT dello stato nazionale hanno armato vulnerabilità ed esposizioni comuni per ottenere l'accesso a dispositivi VPN vulnerabili, consentendo loro di rubare credenziali, eseguire codice in remoto, indebolire la crittografia del traffico crittografato, dirottare sessioni di traffico crittografato e leggere dati sensibili da un dispositivo.
Il direttore della NSA Rob Joyce ha dichiarato all'Aspen Cybersecurity Summit questa settimana che “molti attori degli stati nazionali stanno sfruttando i CVE per compromettere i dispositivi vulnerabili delle reti private virtuali”.
Ha scritto su Twitter che i server VPN sono punti di ingresso in reti protette, rendendoli obiettivi interessanti.
“Gli attori APT hanno e sfrutteranno le VPN: le ultime indicazioni di NSA e @CISAgov possono aiutare a ridurre la superficie di attacco. Investi nella tua protezione!” Ha aggiunto.
La direttrice della CISA Jen Easterly ha fatto eco alle osservazioni di Joyce, condividendo lo stesso messaggio sullo sfruttamento dello stato nazionale.
L'avviso includeva un elenco di prodotti VPN “testati e convalidati” nell'elenco dei prodotti conformi alla National Information Assurance Partnership, molti dei quali utilizzano l'autenticazione a più fattori e applicano prontamente patch e aggiornamenti.
Gli esperti hanno elogiato la CISA e la NSA per aver creato la lista. Chester Wisniewski, uno dei principali ricercatori di Sophos, ha dichiarato a ZDNet che per troppo tempo non c'è stata una voce attendibile sulle VPN senza un legittimo interesse a venderti qualcosa.
“La combinazione della conoscenza e dell'esperienza della NSA con il mandato della CISA di aiutare a proteggere il settore privato degli Stati Uniti li mette in una buona posizione per fornire consigli affidabili su come stare al sicuro contro gli attori criminali”, ha affermato Wisniewski.
Ha notato che il consiglio è in gran parte copiato dai suggerimenti forniti agli appaltatori della difesa e ad entità simili.
“È un ottimo consiglio, ma incredibilmente complicato e gravoso per la maggior parte delle entità commerciali. Niente di ciò che viene detto è sbagliato, ma richiede molta previdenza e molte procedure da rispettare”, ha aggiunto Wisniewski.
“La maggior parte delle organizzazioni non è in grado di seguire gran parte dei consigli. Fare le VPN nel modo giusto è davvero difficile, come dimostrato in questo documento, quindi esorto le organizzazioni a perseguire l'accesso alla rete Zero Trust e SD-WAN come un modo più pratico per raggiungere obiettivi simili. Piuttosto che ricostruire l'intera strategia VPN per continuare a farlo alla vecchia maniera, puoi anche impiegare lo stesso tempo/risorse per modernizzare il tuo approccio all'accesso remoto e raccogliere i benefici piuttosto che semplicemente sostenere il vecchio modo.”
Il vicepresidente senior di Untangle Heather Paunet ha osservato che gli attacchi informatici alle VPN sono molto costosi a causa di potenziali riscatti o accesso ai dati, come si è visto con l'exploit di Pulse Secure VPN ad aprile che ha compromesso agenzie governative e aziende negli Stati Uniti e in Europa.
Mentre c'è stato un aumento delle vulnerabilità delle VPN a causa di un maggiore utilizzo di VPN nell'ultimo anno e mezzo, le nuove tecnologie VPN con nuovi tipi di crittografia si stanno evolvendo per garantire la protezione delle informazioni trasmesse su Internet, ha affermato Paunet, rilevando strumenti popolari come WireGuard VPN che utilizzano la crittografia.
“Ciò che manca alle linee guida è prendere in considerazione l'elemento umano. Oltre a seguire le rigide linee guida, i professionisti IT devono anche convincere i dipendenti a utilizzare efficacemente la tecnologia. Se la VPN è troppo difficile da utilizzare o rallentare i sistemi, è probabile che il dipendente lo spenga”, ha affermato Paunet.
“La sfida per i professionisti IT è trovare una soluzione VPN che soddisfi le linee guida, ma sia anche veloce e affidabile in modo che i dipendenti la accendano una volta e se ne dimentichino.”
Archie Agarwal, CEO di ThreatModeler, ha notato che una rapida ricerca sul motore di ricerca Shodan rivela oltre un milione di VPN su Internet solo negli Stati Uniti, fornendo un accesso a reti interne riservate private che sono esposte al mondo affinché chiunque possa provare a sfondare.
“Questi rappresentano il vecchio paradigma di sicurezza perimetrale e non sono riusciti a proteggere più e più volte il castello interno. Se le credenziali vengono trapelate o rubate o vengono scoperte nuove vulnerabilità, il gioco è perso e il castello cade”, ha detto Agarwal.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 