您的 VPN 有多安全?
虚拟专用网络 (VPN) 安全一贯重要,但鉴于当前的 COVID-19 疫情,现在变得至关重要。 远程工作已迅速成为新常态,相应地,对 VPN 功能的需求也猛增。 不幸的是——尽管这并不令人意外——针对 VPN 的攻击也急剧增加。 为强调其严重性,美国国土安全部网络安全和基础设施安全局 (CISA) 于 3 月份发布了关于企业 VPN 安全的警报 AA20-073A 。
本质上,VPN 扩展了企业网络边界并允许用户在任何地方访问企业应用。 内部部署基础设施实际上与用户设备只需“一跳”(或一次点击)的距离。 同样,企业资产的安全风险也变得近在咫尺。 攻击者可能不再需要破坏复杂的外围安全层(代理、WAF、入侵检测等),而仅仅一个漏洞或不安全的 VPN 实施就可能暴露公司资产和个人信息。
在本文中,我们将重点介绍评估 VPN 安全性的一些关键领域。
端点安全态势
用户通常从其端点设备(例如台式机、笔记本电脑和手机)启动 SSL VPN 隧道。 这些端点既成为入口点,也成为不良行为者试图将其用作攻击媒介的主要目标。 因此,在建立 VPN 隧道之前始终确保端点的安全非常重要。 端点安全是一种战略方法,用于确保客户端设备在获得网络远程访问连接之前不会带来安全风险。 此类策略可能意味着系统地验证客户端机器证书、验证客户端类型和/或客户端浏览器的版本、验证反间谍软件和防病毒软件的补丁、以及检查客户端防火墙规则等。
端点安全态势评估通常发生在会话启动时,在建立 VPN 隧道之前,但也可以在用户的 VPN 会话期间定期发生。 通过检查初始 VPN 隧道建立后端点是否受到威胁,持续的端点安全态势评估可以减轻后续风险。
用户身份验证和授权
身份验证包括在建立 VPN 隧道之前验证用户的身份。 验证远程工作人员的凭证可确保只有合法用户才能访问内部资源和应用。
然而,随着撞库攻击和帐户接管 (ATO) 方法的兴起,攻击者表面上可能拥有有效的用户凭证并绕过单因素身份验证。 因此,为您的 VPN 实施多因素身份验证变得至关重要。
多重身份验证 (MFA)
MFA 通过要求用户在建立 VPN 隧道之前提供两个或更多可验证的身份验证因素来增强安全性。 据业界估计,这种方法可以使 MFA 有效地阻止 99.9% 的帐户接管 (ATO) 攻击。 常见的身份验证因素有:
- 用户知道的某些信息,例如密码、PIN 码或触摸板手势
- 用户拥有的东西,例如物理或软件令牌或证书
- 用户身份,即生物特征输入,例如指纹、视网膜扫描、面部或语音识别
在用户通过身份验证后,授权策略将评估用户的权限集,以授予对内部资源和应用的特定访问权限,并实施适当的限制。 使用不同的权限模型授予访问权限,例如基于角色的访问控制 (RBAC)。 通过在建立 VPN 隧道期间实施 ACL 等额外的安全控制,可以为 VPN 用户强制实施特定的权限和偏好。
数据机密性和完整性
当公司数据通过 VPN 隧道在共享或公共网络上传输时,加密可提供数据的机密性和完整性。
为了泄露机密数据,恶意行为者可能试图窃取私钥、利用加密实现中的已知漏洞或破解弱加密参数。
配置 SSL VPN 时,您应该考虑密钥交换管理和加密密码的强度。 TLS1.3 之前的版本在协议定义和实现方面存在已知缺陷。 其他漏洞包括滥用客户端重新协商和使用弱加密原语,例如 RC4 流和出口级密码。
VPN 上的 DDoS 攻击
当您的大多数或所有员工都是远程工作者时,VPN 服务器(有时称为 VPN 集中器)的可用性对于业务连续性也变得至关重要。 相反,VPN 服务器可能成为恶意行为者的主要目标,他们试图通过随机分布式自动请求压垮您的 VPN 服务器,从而使合法用户无法使用 VPN。
SSL VPN 可通过 IP 地址/URL(在 Web 浏览器中或在 VPN 客户端中配置)访问,这使得它们容易受到针对 Web 服务器的相同 DDoS 攻击模式,例如 HTTP 洪水攻击、SSL 洪水攻击、SSL 重新协商、TCP 混合攻击等。
因此,为了确保通过 VPN 进行业务连续性,将 VPN 配置为检测和缓解 DDoS 攻击作为更广泛的安全策略的一部分可能至关重要。
更多资源: