Útočníci se stále častěji zaměřují na zranitelný VPN software ve snaze proniknout do podnikových sítí, proto rostou obavy, že VPN samy o sobě představují kybernetické riziko.
Služby virtuální privátní sítě (VPN) se v posledních letech staly základním nástrojem využívaným v moderních firmách. Dvojnásobně to platilo v roce 2020 po vypuknutí pandemie, kdy mnohé firmy hromadně přecházely na práci na dálku.
Vytvořením šifrovaného tunelu pro přenos firemních dat mezi podnikovými sítěmi a zařízeními zaměstnanců pomáhají sítě VPN zabezpečit citlivé informace, bez toho aby byla ohrožena produktivita zaměstnanců nebo došlo k ochromení kriticky důležitých procesů firmy. Vzhledem k tomu, že se mnoho organizací přešlo na model hybridního pracoviště, které kombinuje práci v kanceláři a na dálku, zůstaly sítě VPN pro vzdálený přístup základním nástrojem síťového připojení a zabezpečení.
Význam zabezpečení VPN
Na druhou stranu jsou virtuální privátní sítě stále více pod drobnohledem kvůli nárůstu bezpečnostních zranitelností a zneužití, kterým jsou vystavené, a to někdy ještě před vydáním záplat. Vzhledem k tomu, že sítě VPN vlastně představují pomyslný klíč od vašeho firemního království, jsou velice atraktivní pro kyberútočníky ze skupin podporovaných národními státy. Útočníci investují značné prostředky na vyhledávání slabých míst ve firemním softwaru, což na organizace vytváří další tlak a zdůrazňuje důležitost postupů zmírňování rizik.
V době, kdy se stále častěji objevuje masové zneužívání bezpečnostních mezer, rozsáhlé útoky na dodavatelské řetězce a další narušení podnikové ochrany, rostou obavy o to, jestli sítě VPN dokáží chránit podniková data před kyberzločinci, ale také z toho, jestli samotný software není dalším zdrojem kybernetických rizik.
Nabízí se otázka: Mohou být podnikové sítě VPN přítěží, která zvětšuje prostor pro útoky na vaši organizaci?
Aktuální zranitelnosti VPN systémů
VPN směruje provoz uživatele přes šifrovaný tunel, který chrání data před zvědavýma očima. Hlavním smyslem firemní VPNky je vytvořit soukromé připojení přes veřejnou síť nebo internet. Umožňuje tak zaměstnancům pracujícím na dálku přístup k interním sítím, tak jako by seděli u svých pracovních stolů v kanceláři a umožňuje aby jejich zařízení bylo v podstatě součástí podnikové sítě.
Ale stejně jako se může tunel zhroutit nebo se v něm mohou objevit praskliny, může i zranitelná VPN čelit nejrůznějším hrozbám. Zastaralý software je často důvodem, proč se mnoho organizací stane obětí útoku. Zneužití zranitelnosti VPN může hackerům umožnit krádež přihlašovacích údajů, zmocnit se šifrovaných přenosových relací, vzdálené spuštění libovolného kódu a přístup k citlivým firemním datům. Zpráva o zranitelnostech v sítích VPN z roku 2023 poskytuje praktický přehled zranitelností ve VPN nahlášených v posledních letech.
Stejně jako každý jiný software totiž i virtuální privátní sítě vyžadují údržbu a bezpečnostní aktualizace, které zranitelnosti opravují. Pro podniky je někdy obtížné držet krok s aktualizacemi VPN, mimo jiné proto, že VPN často nemají plánované odstávky a místo toho se od nich očekává, že budou neustále v provozu.
Ačkoli jsou sítě VPN často klíčovou součástí bezpečného vzdáleného přístupu, mohou být (zejména při absenci dalších bezpečnostních postupů a kontrol) lákavým cílem pro útočníky, kteří chtějí proniknout do podnikových sítí.
Různé APT skupiny v poslední době využívají známé zranitelnosti v softwaru VPN k odcizení uživatelských přihlašovacích údajů, vzdálenému spuštění škodlivého kódu a získání drahocenných firemních informací. Je známo, že ransomwarové gangy se často zaměřují na zranitelné servery VPN a po získání alespoň jednoho přístupu se mohou pohybovat po síti a dělat, co se jim zlíbí, například zašifrovat data a požadovat výkupné, exfiltrovat je, provádět špionáž a podobně. Jinými slovy, úspěšné zneužití zranitelnosti otevírá cestu k dalším škodlivým akcím, které mohou vést k rozsáhlé kompromitaci podnikové sítě.
ESET APT Activity Report poskytuje pravidelný přehled zjištění společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby. Kromě veřejné zprávy ESET APT Activity Report nabízí ESET také podrobnější zprávu ESET APT Report PREMIUM, která poskytuje podrobné technické informace a pravidelné aktualizace o činnosti konkrétních APT skupin. Více informací o službách ESET Threat Intelligence naleznete na této stránce. |
Příklady útoků pomocí zranitelností ve VPN
Společnost Global Affairs Canada nedávno zahájila vyšetřování úniku dat způsobeného kompromitací jejího vybraného řešení VPN, která zůstala neodhalená nejméně měsíc. Hackeři údajně získali přístup k nezveřejněnému počtu e-mailů zaměstnanců a různým serverům, ke kterým se jejich notebooky připojovaly od 20. prosince 2023 do 24. ledna 2024. Není třeba dodávat, že úniky dat s sebou nesou obrovské náklady – podle zprávy IBM Cost of a Data Breach 2023 v průměru 4,45 milionu dolarů.
Jiným příkladem je situace z roku 2021, kdy se aktéři hrozeb napojení na Rusko zaměřili na pět zranitelností v produktech firemní infrastruktury VPN. Bezpečnostní agentura NSA musela dokonce vydat varování, v němž vyzvala organizace, aby co nejdříve nasadily záplaty, jinak se vystavují riziku hackerských útoků a špionáže.
Další obavy vzbuzují chyby v designu, které se neomezují na žádnou konkrétní službu VPN. Například nedávno odhalené zranitelnosti TunnelCrack, které se týkají mnoha firemních i spotřebitelských VPN sítí, mohou útočníkům pomoci oklamat oběti a přinutit je přesměrovat provoz mimo chráněný tunel VPN, což by jim umožnilo sledovat datové přenosy obětí.
Jak se chránit před zranitelnostmi ve VPN?
K odstranění těchto bezpečnostních mezer jsou nutné kritické aktualizace zabezpečení, takže byste měli pravidelně sledovat jejich vydávání. Stejně tak je důležitá informovanost zaměstnanců, protože další tradiční hrozba spočívá v tom, že útočníci pomocí podvodných webových stránek přinutí zaměstnance k odevzdání přihlašovacích údajů do sítě VPN. Aby podvodník pronikl do interních sítí a ohrozil a/nebo vynesl data nebo tiše slídil po aktivitách společnosti může také odcizit telefon nebo notebook zaměstnance.
Firma by se při ochraně svých zaměstnanců a interních informací neměla spoléhat pouze na virtuální privátní síť. VPNka nenahrazuje běžnou ochranu koncových bodů ani jiné metody ověřování.
Zvažte nasazení řešení, které vám pomůže s vyhodnocováním zranitelností a záplatováním. Jinými slovy, pravidelná údržba a aktualizace zabezpečení jsou jedním z nejlepších způsobů, jak minimalizovat pravděpodobnost úspěšného kybernetického incidentu.
ESET Vulnerability & Patch Management
Získejte přehled o aktuálním stavu zranitelností a záplat ve vaší organizaci. ESET řešení pro správu zranitelností a záplat disponuje plně automatizovanou i manuální správou záplat pro všechna koncová zařízení.
CHci Vědět víceJak posílit bezpečnost vzdáleného přístupu?
Důležité je přijmout další opatření k zabezpečení vybrané sítě VPN proti kompromitaci. Americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) a Národní bezpečnostní agentura (NSA) vydaly praktickou brožuru, která popisuje různá preventivní opatření, která k tomu slouží. Patří mezi ně omezení potenciálních míst pro útok, používání silného šifrování pro citlivá firemní data a spolehlivých metod ověřování (například přidaný druhý faktor v podobě jednorázového kódu) a monitorování používání VPN. Používejte síť VPN, která splňuje průmyslové standardy a pochází od renomovaného dodavatele, který prokazatelně dodržuje osvědčené postupy v oblasti kybernetické bezpečnosti.
Žádný VPN software nezaručuje dokonalou ochranu a nebylo by vhodné, aby se podnik při správě přístupu spoléhal pouze na něj. V případě zaměstnanců pracujících na dálku můžete zavést ještě další postupy jako je model zabezpečení s nulovou důvěrou, který se opírá o průběžné ověřování uživatelů, a také další kontrolní mechanismy, mezi něž patří průběžné monitorování sítě, správa privilegovaných přístupů a bezpečné vícevrstvé ověřování. Přidejte k tomu možnosti detekce a reakce na koncových zařízeních, které mimo jiné mohou snížit riziko potenciálních útoků, protože jejich funkce založené na umělé inteligenci dokáží automaticky upozornit na podezřelé chování.
Kromě toho zvažte, jakou virtuální privátní síť používáte nebo chcete. Služby VPN se mohou lišit v tom, co nabízejí, protože pod povrchem se skrývá mnohem více než jen vytvoření jednoduchého připojení k serveru. VPNka může zahrnovat i různá další bezpečnostní opatření.