В условиях сегодняшней вспышки COVID-19 (коронавирус) большинство сотрудников работают на дому, и теперь корпоративные VPN-серверы стали первостепенной задачей для магистрали компании, и их безопасность и доступность должны быть в центре внимания для ИТ-специалистов. команды.
«Будет очень важно [that]что служба VPN исправлена и обновлена, потому что будет проводиться более тщательный анализ (сканирование) этих служб», — сказал Гай Бруно, инструктор ISC SANS в пост на прошлой неделе.
Предупреждение Бруно является лишь одним из многих предупреждений индустрии кибербезопасности, опубликованных за последние несколько дней на тему безопасности VPN. На родственном сайте ZDNet CNET рассматриваются лучшие VPN-сервисы.
Аналогичные предупреждения и бюллетени безопасности были опубликованы Агентством по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности США (DHS CISA), Нью-Джерси-кибербезопасностью и интеграционной связью (NJCCIC). и фирма кибербезопасности Radware.
Содержание статьи
Идеальное время для обнаружения взломов учетных записей VPN
По словам Бруно, сейчас как никогда важно, чтобы компании и ИТ-персонал настраивали системы для сбора показателей производительности и доступности услуг VPN ,
Инструктор ISC SANS говорит, что эти системы помогут компаниям избежать простоев критически важных VPN-сервисов, особенно сейчас, когда сотрудники работают из дома, а VPN-сервис представляет собой наиболее безопасный способ доступа к сетям компании и частным ресурсам.
Bruneau рекомендует компаниям просматривать журналы для обнаружения взломов учетных записей VPN. Поскольку большинство сотрудников теперь будут использовать VPN-системы, они с большей вероятностью попадут в фишинговые атаки, которые крадут учетные данные VPN-аккаунта.
Теоретически, при наличии надлежащей регистрации, теперь должно быть намного легче обнаружить скомпрометированные учетные записи, просматривая нерегулярные схемы использования VPN для каждого корпоративного пользователя, работающего из дома.
«Действия, которые должны быть изучены в ближайшие недели, будут связаны с VPN портами, такими как OpenVPN (1194) или SSL VPN (TCP / UDP 443, IPsec / IKEv2 UDP 500/4500) с соответствующими журналами обеспечить доступ к этим услугам нужных лиц и не злоупотреблять ими, не эксплуатировать и не подвергать риску », — сказал Бруно.
Справочник
Лучшие VPN-сервисы до 2020 года (CNET)
Виртуальная частная сеть позволяет отправлять и получать данные, сохраняя при этом анонимность и безопасность в сети. В этом каталоге CNET рассматривает нескольких самых лучших коммерческих поставщиков услуг VPN в Интернете.
Подробнее
Включение MFA для учетных записей VPN
В свете ожидаемого увеличения фишинговых атак VPN, эксперт ISC SANS рекомендует компаниям очень внимательно относиться к включению решения многофакторной аутентификации (MFA) защитить учетные записи VPN от несанкционированного доступа.
Его рекомендация была также поддержана NJCCIC и DHS CISA в предупреждении US-CERT, которое агентство разослало на прошлой неделе.
В отчете прошлого года Microsoft заявила, что включение решения MFA для сетевых учетных записей обычно блокирует 99,9% всех атак захвата учетной записи (ATO), даже если у злоумышленника есть действительные учетные данные для учетной записи жертвы.
Также: Защитите себя: как выбрать правильное приложение для двухфакторной аутентификации
VPN-серверы должны быть исправлены и в актуальном состоянии
Но помимо того, что MFA защитил учетные записи VPN для сотрудников, работающих дома, CISA также рекомендовала компаниям пересмотреть уровни исправлений корпоративных продуктов VPN. Тот же самый совет был также отражен сегодня в предупреждении безопасности Radware.
Как CISA, так и Radware отмечают, что корпоративные VPN-решения стали мишенью для широкого спектра атак, начавшихся летом 2019 года.
Атаки на целевые VPN-серверы из сетей Palo Alto, Fortinet, Pulse Secure и Citrix:
• Рекомендации по безопасности сети Palo Alto PAN-SA-2019-0020, в отношении CVE-2019- 1579;
• Советы по безопасности FortiGuard FG-IR-18-389, в отношении CVE-2018-13382; FG-IR-18-388 по отношению к CVE-2018-13383; FG-IR-18-384, в отношении CVE-2018-13379;
• Консультативная защита по импульсной безопасности SA44101, в отношении CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE- 2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, https://cve.mitre.org/cgi-bin/cvename. cgi? name = CVE-2019-11507CVE-2019-11507.
• Citrix Security Advisory CTX267027, относительно CVE-2019-19781.
Все эти системы должны были быть исправлены в прошлом году, когда Были выявлены уязвимости, и первые атаки начали поражать организации.
Все больше и больше компаний нуждаются в возможностях VPN, позволяющих сотрудникам входить в частные корпоративные системы и выполнять свои обязанности, ИТ-персонал реагирует, устанавливая все больше серверов VPN для обработки растущего трафика.
ИТ-персоналу теперь необходимо обратить пристальное внимание на новые VPN-серверы, которые они устанавливают, и убедиться, что эти системы были исправлены для перечисленных выше уязвимостей, которые являются одними из наиболее уязвимых на сегодняшний день.
Опасность DDoS-атак на VPN-серверы
Но так как многие организации переводят своих сотрудников на работу из дома, на горизонте появилась новая угроза — вымогательство.
Хакеры могли запускать DDoS-атаки на VPN-сервисы и истощать свои ресурсы, сбивая VPN-сервер и ограничивая его доступность.
Поскольку VPN-сервер выступает в качестве шлюза во внутреннюю сеть компании, это не позволяет всем удаленным сотрудникам выполнять свою работу, фактически нанося вред организации, в которой практически нет работников на месте.
Radware говорит, что эти типы DDoS-атак даже не должны быть огромными по размеру.
В закрытом отчете ZDNet Дилип Мишра (Dileep Mishra), менеджер по продажам в Radware, говорит, что хорошо настроенной атаки TCP Blend (DDoS) с объемом атаки всего 1 Мбит / с достаточно для сбой VPN-сервера или брандмауэра.
Кроме того, VPN на основе SSL (такие как Pulse Secure, Fortinet, Palo Alto Networks и другие) также уязвимы для атаки SSL Flood (DDoS), как и веб-серверы, сказал Мишра.
Злоумышленники могут инициировать тысячи подключений SSL к SSL VPN, а затем оставить их зависшими. Сервер VPN распределяет ресурсы, чтобы справиться с потоком бесполезных соединений злоумышленника, исчерпанием памяти и предотвращением использования сервиса законными пользователями.
Кроме того, поскольку даже ИТ-персонал, скорее всего, будет работать из дома, злоумышленники могут использовать любую уязвимость, оставшуюся на VPN-серверах, чтобы отключить системных администраторов от их собственных серверов, пока они неистовствуют во внутренней сети, воровать проприетарные данные, или установить вымогателей.
Другие соображения
Но VPN-серверы являются лишь одним из вариантов в наборе инструментов удаленной работы / удаленной работы, доступных сегодня компаниям.
NJCCIC также рекомендует компаниям уделять пристальное внимание безопасности облачных и программных приложений (SaaS), которые удаленные сотрудники будут использовать в ближайшие месяцы, из-за COVID- 19 Вспышка.
Аналогичным образом, Radware также предупреждает о расширении использования подключений по протоколу удаленного рабочего стола (RDP) внутри компаний с постоянно растущей удаленной рабочей силой. Конечные точки и учетные записи RDP также должны быть должным образом защищены, как VPN.
Наконец, но не в последнюю очередь, Бруно также излагает ряд вопросов и соображений, которые компании должны будут обдумать, если они используют системы VPN для предоставления удаленным работникам доступа к своим внутренним сетям.
- Сколько одновременно работающих пользователей могут войти в систему одновременно?
- Будет ли смягчена корпоративная политика VPN с учетом максимального количества сотрудников?
- Кто получает приоритетный доступ если устройство или служба не может поддерживать всех?
- Какую пропускную способность использует обычный пользователь?
- Вы разделяете время доступа между пользователями (то есть каждый получает 2 часа)?
- Количество доступных лицензий VPN или токенов MFA?
- Разрешено ли пользователям использовать персональный компьютер?
- Если разрешены персональные компьютеры: (1) Какова их позиция безопасности (исправления, обновление AV, и т.д.)? (2) Можно ли им доверять? (3) К каким файлам или общим ресурсам разрешен доступ сотрудникам?
