2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
企業(yè)很自然地信任他們的供應(yīng)商,經(jīng)常發(fā)展長期的合作關(guān)系。然而,在過去的幾年里,供應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)罪犯的主要目標(biāo),他們試圖利用這種關(guān)系經(jīng)常造成的軟肋。除了由不安全的供應(yīng)鏈導(dǎo)致的任何數(shù)據(jù)泄漏或社會工程風(fēng)險(xiǎn)外,許多企業(yè)選擇在組織之間部署持久的虛擬專用網(wǎng)(VPN)連接,而沒有意識到所涉及的固有風(fēng)險(xiǎn)。如果實(shí)現(xiàn)得不好,持久的VPN連接可能會對安全保障良好的組織造成嚴(yán)重的安全風(fēng)險(xiǎn)。
vpn是在多個(gè)網(wǎng)絡(luò)之間以安全的方式共享數(shù)據(jù)的一種有效方式,它加強(qiáng)了隧道中數(shù)據(jù)的保密性和完整性。然而,在許多情況下,vpn是針對正在傳輸?shù)臄?shù)據(jù)所采取的唯一數(shù)據(jù)安全措施。這就產(chǎn)生了一個(gè)重要的漏洞,攻擊者可以利用它。
這是因?yàn)関pn在不同的網(wǎng)絡(luò)之間創(chuàng)建了一個(gè)隧道,就像字面上的物理連接一樣。如果攻擊者可以破壞一端的主機(jī),那么VPN就可以像一個(gè)不透明的管道一樣,連接到放置另一端的任何地方,即使這是在一個(gè)非常有效的安全體系結(jié)構(gòu)中。雖然客戶可能有強(qiáng)大的安全控制,但這可能不是供應(yīng)商的情況,從而邀請攻擊者進(jìn)入您的數(shù)字資產(chǎn)的軟肋。
vpn最近也成為了高級持續(xù)威脅(Advanced Persistent Threat,簡稱APT)行動者的攻擊目標(biāo),國家網(wǎng)絡(luò)安全中心(NCSC)已就如何檢測惡意活動向各組織發(fā)布了警告和建議,顯示出這種技術(shù)的脆弱性日益增強(qiáng)。簡單地說,VPN的安全性取決于它的配置和圍繞它的附加安全措施,以管理通過它的流量。
現(xiàn)在有大量面向企業(yè)的現(xiàn)代VPN技術(shù)——從特定于供應(yīng)商的實(shí)現(xiàn),從您的防火墻或網(wǎng)絡(luò)監(jiān)控供應(yīng)商,到專用設(shè)備和強(qiáng)大的開源競爭者,如OpenVPN和Strongswan。然而,業(yè)界已經(jīng)看到了更多遺留VPN協(xié)議的案例——特別是沒有IPSEC加密的PPTP和L2TP——在這些協(xié)議中,歷史的實(shí)現(xiàn)決策已經(jīng)損害了現(xiàn)代世界的安全性。因此,最好選擇現(xiàn)代的、知名的協(xié)議和供應(yīng)商技術(shù)。
為了在任何基于ip的VPN中實(shí)現(xiàn)最大程度的安全性,企業(yè)應(yīng)該避免攻擊模式,并確保同時(shí)啟用AH和ESP。他們還應(yīng)該考慮為安全關(guān)聯(lián)禁用ISAKAMP和IKEv1 (IKEv2目前還可以)。對于OpenVPN和其他基于TLS的選項(xiàng),企業(yè)應(yīng)該了解底層TLS/SSL密碼中可能存在的潛在致命弱點(diǎn),并采取相應(yīng)的行動。
為了獲得最大的安全性(但可能需要復(fù)雜的互操作性),可以使用TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384這樣的密碼,AES-256-GCM是可靠的,可以考慮使用Curve25519作為DH交換,而不是更可靠的替代方案。如果你想要一些令人興奮的東西,試試查查20- poly1305 AEAD。
對今天的中小企業(yè)來說,“深入防御”是實(shí)現(xiàn)有意義的安全的唯一真正途徑。該方法結(jié)合了多層控件,這些控件相互支持,而攻擊者必須在應(yīng)用程序、主機(jī)和網(wǎng)絡(luò)之間擊敗或繞過多層保護(hù)。
這種安全層的明智組合,包括主機(jī)加固、防火墻、網(wǎng)絡(luò)隔離以及對進(jìn)出VPN的數(shù)據(jù)進(jìn)行內(nèi)容檢查,將確保一個(gè)組織的IT基礎(chǔ)設(shè)施的所有元素不會同時(shí)遭到破壞。這不僅為偵查和響應(yīng)提供了更多的時(shí)間,還降低了組織對路過的網(wǎng)絡(luò)罪犯的“低掛果”吸引力。此外,不要盲目信任來自供應(yīng)商的VPN安全端點(diǎn)的流量,將VPN保留在DMZ中,并受其他入站公共連接的相同控制。
我不愿鼓吹GDPR,但保護(hù)組織數(shù)據(jù)變得更為重要。在攻擊期間成功利用的不適當(dāng)部署的第三方VPN連接將與第32條所定義的“考慮當(dāng)前技術(shù)水平”的方法相違背,這可能會將原本安全良好、投資密集型的安全策略的有效性降低到零。
由于新規(guī)范要求數(shù)據(jù)處理程序和控制器分擔(dān)責(zé)任,因此在共享任何數(shù)據(jù)或提供對其網(wǎng)絡(luò)的訪問之前,企業(yè)必須仔細(xì)考慮供應(yīng)商的網(wǎng)絡(luò)和端點(diǎn)安全性。選擇一種深入防御的方法,包括在你的財(cái)產(chǎn)中有意地放置和管理vpn,可以幫助企業(yè)在面對網(wǎng)絡(luò)威脅、惡意軟件攻擊或入侵的后果時(shí)保持彈性和漂浮。
vpn是合法的、有用的安全工具,但是在使用時(shí)應(yīng)該非常小心。采取“設(shè)計(jì)安全”的方法,并將vpn作為分層安全戰(zhàn)略的一部分,可以使組織更容易地與他們的供應(yīng)商鏈進(jìn)行接觸,在保持保護(hù)的同時(shí)利用業(yè)務(wù)利益。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。