De NSA en CISA hebben een gedetailleerde gids uitgebracht over hoe mensen en organisaties virtuele privénetwerken (VPN) moeten kiezen, aangezien zowel nationale staten als cybercriminelen hun gebruik van de tools opvoeren te midden van een wereldwijde verschuiving naar werken en onderwijs op afstand.
De factsheet van negen pagina's bevat ook details over manieren om een VPN veilig in te zetten. De NSA zei in een verklaring dat de gids ook nuttig zou zijn voor leiders van het ministerie van Defensie, de nationale veiligheidssystemen en de defensie-industriebasis, zodat ze “de risico's van VPN's beter kunnen begrijpen”.
De NSA zei dat meerdere nationale APT-actoren gemeenschappelijke kwetsbaarheden en blootstellingen hebben bewapend om toegang te krijgen tot kwetsbare VPN-apparaten, waardoor ze inloggegevens kunnen stelen, op afstand code kunnen uitvoeren, de cryptografie van versleuteld verkeer kunnen verzwakken, versleutelde verkeerssessies kunnen kapen en gevoelige gegevens van een apparaat kunnen lezen.
NSA-directeur Rob Joyce vertelde deze week op de Aspen Cybersecurity Summit dat “meerdere natiestaten gebruikmaken van CVE's om kwetsbare Virtual Private Networks-apparaten te compromitteren.”
Hij schreef op Twitter dat VPN-servers toegangspunten zijn tot beveiligde netwerken, waardoor ze aantrekkelijke doelen zijn.
“APT-actoren hebben en zullen VPN's exploiteren — de nieuwste richtlijnen van NSA en @CISAgov kunnen helpen om je aanvalsoppervlak te verkleinen. Investeer in je eigen bescherming!” hij voegde toe.
CISA-directeur Jen Easterly herhaalde de opmerkingen van Joyce en deelde dezelfde boodschap over uitbuiting door natiestaten.
De kennisgeving bevatte een lijst van “geteste en gevalideerde” VPN-producten op de National Information Assurance Partnership Product Compliant List, waarvan vele multi-factor authenticatie gebruiken en onmiddellijk patches en updates toepassen.
Experts prezen CISA en de NSA voor het maken van de lijst. Chester Wisniewski, hoofdonderzoeker bij Sophos, vertelde ZDNet dat er al te lang geen vertrouwde stem op VPN's is geweest zonder een gevestigd belang om je iets te verkopen.
“Door de kennis en ervaring van de NSA te combineren met de opdracht van de CISA om de Amerikaanse particuliere sector te helpen beschermen, bevinden ze zich in een goede positie om betrouwbaar advies te geven om veilig te blijven tegen criminele actoren”, zei Wisniewski.
Hij merkte op dat het advies grotendeels is overgenomen van suggesties die zijn verstrekt aan defensie-aannemers en soortgelijke entiteiten.
“Het is een geweldig advies, maar ongelooflijk ingewikkeld en belastend voor de meeste commerciële entiteiten. Niets van wat er wordt gezegd is verkeerd, maar het vereist veel denkwerk en veel proces om te voldoen,” voegde Wisniewski eraan toe.
“De meeste organisaties zijn niet in staat om veel van het advies op te volgen. VPN's goed gebruiken is erg moeilijk, zoals in dit document wordt aangetoond, dus ik zou organisaties willen aansporen om zero trust netwerktoegang en SD-WAN na te streven als een meer praktische manier om vergelijkbare doelen te bereiken. In plaats van uw hele VPN-strategie opnieuw op te bouwen om het op de oude manier te blijven doen, kunt u net zo goed dezelfde tijd/middelen besteden aan het moderniseren van uw benadering van toegang op afstand en de vruchten plukken in plaats van gewoon de oude manier te versterken.”
Untangle senior vice president Heather Paunet merkte op dat cyberaanvallen op VPN's erg kostbaar zijn vanwege mogelijk losgeld of toegang tot gegevens, zoals blijkt uit de Pulse Secure VPN-exploit in april die overheidsinstanties en bedrijven in de VS en Europa in gevaar bracht.
Hoewel er een toename is in kwetsbaarheden van VPN's als gevolg van meer VPN-gebruik in de afgelopen anderhalf jaar, evolueren nieuwere VPN-technologieën met nieuwere soorten cryptografie om de bescherming van informatie die via internet wordt verzonden, te garanderen, zei Paunet, wijzend op populaire tools zoals WireGuard VPN die cryptografie gebruiken.
“Wat ontbreekt in de richtlijnen is het rekening houden met het menselijke element. Naast het volgen van de strikte richtlijnen, worden IT-professionals ook uitgedaagd om werknemers ertoe te brengen de technologie effectief te gebruiken. Als de VPN te moeilijk is om gebruikt of systemen vertraagt, zal de werknemer het waarschijnlijk uitschakelen”, zei Paunet.
“De uitdaging voor IT-professionals is om een VPN-oplossing te vinden die voldoet aan de richtlijnen, maar die ook snel en betrouwbaar is, zodat medewerkers hem één keer aanzetten en vergeten.”
Archie Agarwal, CEO bij ThreatModeler, merkte op dat een snelle zoekopdracht op de Shodan-zoekmachine alleen al in de VS meer dan een miljoen VPN's op internet aan het licht brengt, waardoor iedereen toegang krijgt tot privégevoelige interne netwerken die aan de wereld worden blootgesteld.
“Deze vertegenwoordigen het oude perimeterbeveiligingsparadigma en zijn er niet in geslaagd om het binnenste kasteel keer op keer te beschermen. Als inloggegevens worden gelekt of gestolen, of als er nieuwe kwetsbaarheden worden ontdekt, gaat het spel verloren en valt het kasteel,” zei Agarwal.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 