Remote Access VPN, znany również jako Professional VPN, to ważna technologia istniejąca od dziesięcioleci. Umożliwia zdalnym pracownikom łączenie swoich urządzeń z siecią firmową za pośrednictwem publicznego Internetu; umożliwiając im działanie tak, jakby znajdowały się w sieci korporacyjnej. W tym sensie profesjonalna sieć VPN różni się od osobistej sieci VPN używanej do zapewnienia anonimowości podczas przeglądania sieci. O autorze Peter Ayedun jest dyrektorem generalnym TruGrid. Problem z sieciami VPN o zdalnym dostępie polega na tym, że nie są one już odpowiednie dla mobilnych pracowników narażonych na szalejące i nieustanne zagrożenia cyberbezpieczeństwa. Aby podkreślić tę kwestię, analiza firmy Gartner z czerwca 2019 r. przewiduje, że do 2023 r. 60% przedsiębiorstw wyeliminuje swoje dial-up VPN na rzecz dostępu do sieci o zerowym zaufaniu. Przejdźmy szybko do czerwca 2020 r. i jasne jest, że przejście na pracę w domu po pandemii COVID-19 jeszcze bardziej ujawniło słabości VPN i w związku z tym może przyspieszyć jej upadek szybciej, niż przewidywał Gartner. Według amerykańskiego DHS z 8 kwietnia 2020 r. „wzrost telepracy spowodował wzrost wykorzystania potencjalnie wrażliwych usług, takich jak wirtualne sieci prywatne (VPN), zwiększając zagrożenie dla osób i organizacji”. Problemy napotykane przez VPN można ogólnie podzielić na luki w zabezpieczeniach UŻYTKOWNIKA KOŃCOWEGO i luki w zabezpieczeniach GATEWAY.
Luki w zabezpieczeniach użytkownika końcowego VPN
Pierwotną wadą VPN jest to, że tworzy zbyt duże zaufanie między zdalnym urządzeniem a siecią firmową. Chociaż tunel VPN między zdalnym pracownikiem a siecią firmową jest bezpieczny kryptograficznie, zaufanie między nimi można łatwo wykorzystać. W rezultacie zagrożenia (w tym oprogramowanie ransomware), które wpływają na urządzenie lub sieć pracownika zdalnego, mogą przedostać się i zainfekować sieć firmową. Segmentacja sieci korporacyjnej w celu ograniczenia dostępu poprzez VPN jest zadaniem trudnym i nie gwarantuje bezpieczeństwa przed przemieszczaniem się zagrożeń bocznych. Korzystanie z urządzeń dostarczonych przez firmę z firmowymi środkami bezpieczeństwa może zminimalizować, ale nie wyeliminować zagrożenia. Zezwolenie pracownikom zdalnym na korzystanie z urządzeń osobistych w celu łączenia się z sieciami firmowymi za pośrednictwem sieci VPN znacznie zwiększa ryzyko dla firmy, ponieważ urządzenia osobiste często nie mają zainstalowanych zabezpieczeń na urządzeniach firmowych. Kiedy pracownik zdalny znajduje się z dala od sieci firmowej, ryzyko, takie jak phishing za pośrednictwem poczty e-mail, ataki złośliwego oprogramowania i naruszenia bezpieczeństwa danych, ma większe szanse powodzenia. Problem stał się na tyle poważny, że 6 kwietnia 2020 r. NASA opublikowała biuletyn, w którym zachęcała pracowników i wykonawców pracujących zdalnie za pośrednictwem VPN, aby „powstrzymali się od otwierania osobistych wiadomości e-mail lub niepowiązanych sieci społecznościowych podczas pracy na systemach/urządzeniach komputerowych NASA. zachowaj ostrożność przed kliknięciem linków w wiadomościach SMS i sieciach społecznościowych.” NASA wydała ostrzeżenia po tym, jak była świadkiem podwojenia liczby prób phishingu za pośrednictwem poczty e-mail, wykładniczego wzrostu liczby ataków złośliwym oprogramowaniem oraz podwojenia liczby stron internetowych blokowanych przez systemy łagodzące NASA. Zasadniczo korzystanie z korporacyjnej sieci VPN przypomina umieszczenie zdalnego urządzenia w sieci firmowej bez wszystkich zabezpieczeń sieci korporacyjnej. Skuteczne ataki na zdalne urządzenie lub sieć mogą z łatwością przedostać się do sieci firmowej.
Luki w zabezpieczeniach bramy VPN
W sieci korporacyjnej, w której często hostowane są bramy VPN, nadal występuje wiele luk w zabezpieczeniach. Podobnie jak wszystkie technologie, bramy VPN muszą być stale aktualizowane, aby poprawić bezpieczeństwo. Ponieważ jednak są dostępne dla wszystkich, są znacznie bardziej szczegółowe niż większość systemów. Dlatego VPN musi być częściej aktualizowany. Wyzwanie polega na tym, że wiele firm polega na tym, że ich sieci VPN działają przez całą dobę, aby zapewnić dostęp pracownikom i kontrahentom pracującym zdalnie. Często oznacza to, że urządzenia bram VPN pozostają bez poprawek przez miesiące lub lata i dlatego są bardziej podatne na nowe ataki. Skalę ataków na bramy VPN najlepiej ilustrują liczne ostrzeżenia dotyczące bezpieczeństwa wydawane przez amerykańską NSA i brytyjską NSC na przestrzeni kilku miesięcy. Luki są tak powszechne, że agencje rządowe opublikowały nowe biuletyny wkrótce po opublikowaniu nowych poprawek. Wykryte problemy były tak poważne, że niektóre miały charakter wstępnego uwierzytelnienia, co oznaczało, że dostęp do wielu systemów VPN, których dotyczy problem, mógł zostać przyznany bez pomyślnego połączenia. Wśród wielu organizacji, które padły ofiarą luk w bramach VPN, jedną z najbardziej godnych uwagi jest brytyjski Travelex. Travelex to światowy lider w transakcjach walutowych, obecny w 30 krajach, gdzie każdego roku wymienia waluty dla 40 milionów klientów. Z powodu niezałatanej luki w zabezpieczeniach VPN cała działalność Travelex została sparaliżowana na ponad dwa tygodnie, począwszy od 31 grudnia 2019 r. 9 kwietnia 2020 r. zgłoszono, że Travelex zapłacił okup w wysokości 2.3 mln euro za cyberataki w celu przywrócenia działania. Mówi się, że atak kosztował sprawozdanie finansowe spółki za pierwszy kwartał ponad 30 milionów euro. Już 22 kwietnia Travelex rusza w sprzedaży! Zatrzymaj się na chwilę i pomyśl o tym... największa na świecie firma zajmująca się dzieleniem się podróżami może zbankrutować z powodu udanego ataku na jej system VPN!
Niezaufany dostęp do sieci
Rozwiązaniem ogromnych problemów, jakie ujawniają słabości VPN, jest system, który nie tworzy zaufania pomiędzy urządzeniami do telepracy a siecią firmową; i który uwierzytelnia zdalnych pracowników w chmurze lub poza siecią firmową, zanim udzieli dostępu tylko autoryzowanym systemom. Systemy należące do tej kategorii są często nazywane dostępem do sieci o zerowym zaufaniu. Skuteczny system zerowego zaufania będzie obsługiwał dowolne urządzenie zdalne (osobiste lub firmowe). Umożliwi to urządzeniom zdalnym łączenie się z brokerem lub bramą w chmurze w celu wstępnego uwierzytelnienia wymagającego systemu wieloskładnikowego. Dopiero po pomyślnym zakończeniu niezależnego uwierzytelnienia pracownik zdalny będzie miał dostęp do konkretnego systemu, do którego jest upoważniony. Skuteczny system zerowego zaufania nie pozwoli, aby jakiekolwiek zagrożenia znajdujące się na urządzeniu lub sieci pracownika zdalnego przedostały się przez sieć firmową i automatycznie zaktualizują się pod kątem nowych zagrożeń.