虚拟专用网(vpn)已经在几乎每个组织中存在了很多年. 它们的使用大多局限于作为办公室和第三方组织之间的点对点通道, 当IT专家不在工作场所时,为他们提供事件/变更管理的远程访问,并允许出差的员工进行临时远程访问. 虽然一些澳门赌场官方下载可能已经看到某些类别的员工永久更广泛地采用vpn(例如, 销售代理或中高层管理人员), 在很大程度上, 员工未使用VPN服务.
然而,2019冠状病毒病大流行彻底改变了我们的生活和工作方式. 由于疫情迫使人们转向远程工作, 澳门赌场官方下载迫切需要借助vpn组织远程办公通道. 创建这些临时设置的紧迫性通常会绕过标准的信息安全需求, 适当的尽职调查和IT变更管理流程. 对于许多组织来说,远程工作vpn是其危机管理计划的一部分. 像这样, 有一种假设认为,这些临时设置肯定不是永久性的,任何暂时增加的风险都是可以接受的. 然而, 最近的趋势预测,远程工作模式或混合远程工作模式很可能是一种永久的固定装置. 考虑到, 有必要对与VPN技术相关的IT风险级别提供更强的保证.
ISACA的 VPN安全审计程序 提供了一个框架来评估VPN设置暴露于可能阻碍网络和安全专家的旧的和新出现的威胁. 我将在这篇博文中列出其中的一小部分. 在一个场景中, 攻击者扫描澳门赌场官方下载的IP范围,以识别较差的安全设置和未修补的易受攻击的VPN设备. 如果他们成功渗透进防火墙, 他们可能会使用vpn来维持永久访问,并使自己处于反恶意软件和入侵检测解决方案的雷达之下. 没有对VPN使用模式进行彻底的分析, 很难识别攻击者的恶意行为.
VPN地址池通常具有广泛的访问列表,应用于防火墙,成为攻击内部服务器和工作站网段的跳板. 也, 考虑到这样一个事实,即vpn可以成为攻击者在网络杀伤链的几乎每一个元素上的目标. 为了幽默起见,甚至是众所周知的僵尸网络 查询到VPNFilter的名称 (因为它的一个工件是/var/run/vpnfilterm文件夹).
VPN技术本质上非常复杂,使用的概念也多种多样. 开箱即用的设置很快就会过时,而且有潜在的危险. 考虑到用于IPSEC、OpenVPN、HTTPS vpn的3DES密码很容易受到Sweet32攻击 因为它只有64位分组密码. 部分VPN设备同时支持IKEv1和IKEv2协议 成功地利用了布莱肯巴赫神谕 (弱IKEv1设置允许危及更安全的IKEv2连接).
这几个例子说明了VPN是如何容易出错的, 没有定期审核, 很难知道什么时候出了问题,也很难正确地管理VPN风险. 基于ISACA VPN审计计划的保证框架系统地涵盖了治理/技术/维护领域的控制有效性,对内部和外部审计人员都有帮助, 以及那些进行自我评估的人.
作者简介: Glib Pakharenko持有注册信息系统审计师(CISA), 认证信息系统安全专业人员(CISSP)和攻击性安全认证专业人员(OSCP)证书. 他在信息安全咨询方面拥有超过15年的经验, 审核和交付不同行业的IT安全解决方案, 包括电信, 金融服务, 公营及传媒界别. Glib在乌克兰最大的资产管理公司之一Eastone领导IT审计业务,并为主要的国际金融机构工作, 包括荷兰国际集团银行和苏格兰皇家银行. 他的公共工作包括参与ISACA和开放Web应用程序安全项目(OWASP)基辅分会, 将多个安全标准翻译成他的母语乌克兰语,并研究东欧的网络攻击和高级持续威胁(APT). 如今,他经营着自己的网络安全咨询公司Pakurity, 它提供了渗透测试, 为客户提供培训和其他服务. 他喜欢去乌克兰不同的地方旅行,并积极支持他的妻子和儿子在YouTube上的视频频道.
