在当今的COVID-19(冠状病毒)爆发期间,由于大多数员工在家办公,企业VPN服务器现在已成为公司骨干网的重中之重,其安全性和可用性必将成为IT团队的重点。
ISC SANS讲师Guy Bruneau上周表示:“对VPN服务进行修补和更新非常重要,因为将对这些服务进行更多的审查(扫描)。”
Bruneau的警告只是过去几天针对VPN安全主题发布的众多网络安全行业警报之一。
国土安全部网络安全和基础设施安全局(DHS CISA),新泽西州网络安全和通信集成小组(NJCCIC)以及网络安全公司Radware都发布了类似的警告和安全公告。
检测VPN帐户入侵的最佳时机
Bruneau认为,现在,公司和IT员工建立系统以捕获有关VPN服务的性能和可用性的指标比以往任何时候都更为重要。
ISC SANS讲师说,这些系统将帮助公司避免关键任务VPN服务的停机,尤其是现在由于员工在家工作,而VPN服务是访问公司网络和私有资源的最安全方式。
Bruneau鼓励公司在日志中进行筛选,以检测VPN帐户的危害。由于大多数员工现在将使用VPN系统,因此他们更有可能因窃取VPN帐户凭据的网络钓鱼攻击而倒下。
从理论上讲,有了正确的日志记录,现在应该可以通过为每个在家工作的企业用户查看不规则的VPN使用模式来发现被盗用的帐户。
“在接下来的几周内应仔细检查的活动将是与VPN相关的端口,例如OpenVPN(1194)或SSL VPN(TCP / UDP 443,IPsec / IKEv2 UDP 500/4500)及其相关日志,以确保这些服务能够被访问合适的个人,不会受到虐待,剥削或妥协。”布鲁诺说。
为VPN帐户启用MFA
鉴于VPN网络钓鱼攻击的预期增加,ISC SANS专家建议公司密切关注启用多因素身份验证(MFA)解决方案以保护VPN帐户免遭未经授权的访问。
NJCCIC和DHS CISA在该机构上周发出的US-CERT警告中也回应了他的建议。
微软在去年的一份报告中说,为在线帐户启用MFA解决方案通常会阻止99.9%的所有帐户接管(ATO)攻击,即使攻击者具有受害者帐户的有效凭据也是如此。
VPN服务器应进行修补并更新
但是,除了使MFA能够保护在家工作的员工的VPN帐户外,CISA还建议公司审查公司VPN产品的修补程序级别。今天,Radware安全警报中也呼应了同样的建议。
CISA和Radware均指出,企业VPN解决方案已成为自2019年夏季开始的广泛攻击的目标。
攻击来自Palo Alto Networks,Fortinet,Pulse Secure和Citrix的目标VPN服务器:
• 关于CVE-2019-1579的 Palo Alto网络安全咨询PAN-SA -2019-0020;
• 有关CVE-2018-13382的 FortiGuard安全公告FG-IR -18-389;关于CVE-2018-13383的FG-IR -18-388 ; 关于CVE-2018-13379的FG-IR -18-384 ;
•脉冲安全保障咨询SA44101,相对于CVE-2019-11510,CVE-2019-11508,CVE-2019-11540,CVE-2019-11543,CVE-2019-11541,CVE-2019-11542,CVE-2019-11539,CVE-2019-11538,CVE-2019-11509,https: //cve.mitre.org/cgi-bin/cvename.cgi ? name = CVE-2019-11507 CVE-2019-11507。
• 有关CVE-2019-19781的 Citrix安全 通报CTX267027。
所有这些系统都应该在去年披露漏洞时进行了修补,并且首次攻击开始袭击组织。
随着越来越多的公司需要VPN功能以允许工作人员登录私有公司系统并履行职责,IT员工正在通过安装更多VPN服务器来应对不断增长的流量做出响应。
现在,IT员工需要密切注意他们要安装的新VPN服务器,并确保已针对上述漏洞修补了这些系统,这些漏洞是当今一些最有针对性的漏洞。
VPN服务器上DDOS攻击的危险
但是,随着如此众多的组织将其员工队伍转移到在家工作,勒索勒索现在正面临着新的威胁。
黑客可能会对VPN服务发起DDoS攻击并耗尽其资源,从而使VPN服务器崩溃并限制其可用性。
通过将VPN服务器用作公司内部网络的网关,这将阻止所有远程员工执行其工作,从而有效地削弱了几乎没有工人的组织。
Radware说,这些类型的DDoS攻击甚至不必很大。
在ZDNet看到的一份非公开报告中,Radware的销售工程经理Dileep Mishra表示,微调的TCP Blend(DDoS)攻击的攻击量低至1 Mbps,足以使VPN服务器或服务器崩溃。防火墙。
而且,基于SSL的VPN(如Pulse Secure,Fortinet,Palo Alto Networks等)也像Web服务器一样容易受到SSL Flood(DDoS)攻击。
攻击者可以启动与SSL VPN的数千个SSL连接,然后将其挂起。VPN服务器分配资源以应对攻击者的无用连接的泛滥,耗尽内存并阻止合法用户使用该服务。
此外,由于甚至IT人员也很可能在家中工作,因此,攻击者可以利用VPN服务器中留下的任何弱点来切断系统管理员与他们自己服务器之间的连接,同时他们横穿内部网络,窃取专有数据或安装勒索软件。
其他注意事项
但是,VPN服务器只是当今公司可用的一系列远程/远程工作工具中的一种选择。
NJCCIC还建议公司密切关注由于COVID-19爆发而在未来几个月内远程工作者将使用的云和软件即服务(SaaS)应用程序的安全性。
同样,Radware还警告说,随着远程劳动力不断增加,公司内部越来越多地使用远程桌面协议(RDP)连接。就像VPN一样,RDP端点和帐户也需要得到适当的保护。
最后但并非最不重要的一点是,Bruneau还提出了一系列问题和考虑因素,如果公司使用VPN系统授予远程工作人员访问其内部网络的权限,则公司将需要考虑这些问题和考虑因素。
- 多少个并发用户可以同时登录?
- VPN公司的政策会放宽以容纳最多的员工吗?
- 如果设备或服务不能支持所有人,谁将获得优先访问权?
- 典型用户使用多少带宽?
- 您是否在用户之间分配访问时间(即每个用户获得2个小时)?
- 有多少个VPN许可证或MFA令牌?
- 是否允许用户使用个人计算机?
- 如果允许使用个人计算机:(1)他们的安全状态(补丁,AV更新等)是什么?(2)他们可以信任吗?(3)员工可以访问哪些文件或共享?
*编译:Domino
*来自:ZDNET