وقتی کارمندان شما از خانه کار کنند، سرورهای VPN اهمیت بیشتری پیدا میکنند. برای پشتیبانی از یک سازمان ایمن و چابک، امنیت و دسترسپذیری VPN باید تمرکز اصلی IT و تیمهای امنیتی باشد. در این مقاله، به این موضوع میپردازیم که سرویسهای VPN چطور میتوانند آسیبپذیر باشند و همچنین در مورد برخی از روشها برای شناسایی دسترسی غیرعادی VPN صحبت میکنیم. شرکتها همچنین میتوانند بهترین راهکارهایی را به کار گیرند تا از خدمات VPN بهعنوان اقدامهای پیشگیرانه استفاده نمایند.
پیشنهاد میکنیم جهت تکمیل اطلاعات به بخش اول این مقاله راهکارهایی برای دورکاری امن – بخش ۱: شناسایی کلاهبرداریهای فیشینگ رجوع کنید. در بخش اول بررسی شد که عوامل تهدید چگونه از همهگیری بیماری برای حملات جدید استفاده میکنند.
سرویس VPN ابزار ضروری امنیتی
براساس یافتههای مطالعهی موسسهی Ponemon در سال ۲۰۱۸ در مورد وضعیت امنیت سایبری، VPNها یکی از ضروریترین تکنولوژیهای امنیتی میباشند (شکل ۱). شرکتها VPNها را روشهایی غیررسمی جهت فراهم کردن دسترسی ایمن برای تمام کارمندان میدانند تا آنها بتوانند به منابع و دادههای خود، درون سازمان دسترسی پیدا کنند. تکنولوژیهای رمزگذاری پیشرفته مثل SSL (Secure Sockets Layer) و TLS (Transport Layer Security) در محصولات VPN معرفی شدند تا شرکتهای بزرگ راحتتر بتوانند از تکنولوژیهای VPN استفاده کنند، حریم شخصی و امنیت سازمانی را فراهم کرده و به کارمندان اجازهی کار از راه دور را بدهند.
شکل ۱: نمایش VPNها بهعنوان یکی از تکنولوژیهای امنیتی ضروری برای سازمانها. منبع تصویر: Ponemon 2018 State of Cybersecurity Study
آسیبپذیریهای سرویس VPN، خطری جدی برای امنیت سازمان
آسیبپذیری در VPNها وجود دارد. مثلاً در این مقاله برخی از نمونههای آسیبپذیری از دیتابیس CVE آورده شده است. این نقاط ضعف در VPNها به مهاجمان اجازه میدهد که دادههای سازمانی حساس، شامل اطلاعات اعتباری احراز هویت را جمعآوری کنند. مهاجمین میتوانند از این اطلاعات اعتباری دزدیده شده استفاده کنند تا به سرویس VPN متصل شده و تنظیمات پیکربندی را تغییر دهند یا به منابع داخلی دیگر وصل شوند. اتصالات غیرمجاز به یک سرویس VPN همچنین میتواند برای مهاجم دسترسیهایی را فراهم نماید که برای Exploit لازم هستند. یکی از مثالها از حملات به VPN، حملهی سال گذشته است که شرکت عظیم هوافضا یعنی ایرباس مورد هجوم هکرها قرار گرفت که VPNهای مورد استفادهی تأمینکنندگان خطوط هوایی را برای سرقت دادههای حساس شرکت مورد هدف قرار دادند.
چالشهای تیمهای IT و امنیتی برای ایمنسازی ابزار VPN
بسته به تعداد کارمندان و بزرگی تیمهای امنیتی و IT سازمان، ممکن است چالشهای زیادی برای تیمهای IT وجود داشته باشد که سازمانها را مجبور میکند سیاستها و کنترلهای امنیت سرویس VPN خود را ارزیابی کنند. تیمهای امنیتی برای تطبیق داشتن با کنترلهای امنیتی با فشار شدید و همچنین چالشهای بسیاری، مثل موارد زیر مواجه هستند:
- شناسایی اطلاعات اعتباری به سرقت رفته:اکثر VPNها نیازمند ترکیب یک نام کاربری و رمز عبور قدیمی هستند که به راحتی میتوان آن را حدس زد یا به سرقت برد: در حقیقت، بنا به گزارش بررسیهای نقضهای امنیتی داده توسط Verizon در سال ۲۰۱۹، سرقت اطلاعات اعتباری مسیر حملهی شماره یک برای نقضهای امنیتی داده است. برای بهبود امنیت، ممکن است تیمهای IT دارای ددلاینهای خیلی سختگیرانهای جهت ارزیابی ابزار احراز هویت مثل SSO و MFA و پیادهسازی آنها یا اعمال سیاستهای احراز هویت سختگیرانهتر در سازمان باشند.
- تطبیق ظرفیت VPN: وقتی ۱۰۰ درصد از کارمندان شما از راه دور کار کنند، افزایش ظرفیت VPN برای تطبیق با کارمندان بیشتر، میتواند پرهزینه باشد. این امر ممکن است شامل برنامهریزی برای Licenseهای بیشتر کاربران یا خرید تجهیزهای بیشتر باشد.
- ردیابی دسترسی کاربری غیرعادی: تیمهای امنیتی باید اطمینان حاصل کنند که تمام قواعد اجرا میشوند تا بتوانند هر دسترسی غیرعادی کاربر به منابع شرکت را ردیابی نمایند. با توجه به اینکه کارمندان از راه دور کار میکنند، ممکن است سازمانها مجبور شوند کنترلهای امنیتی بیشتری را اعمال نمایند تا دسترسی کاربری را اعتبارسنجی کنند.
- Patch کردن دستگاههای کارمندان: شاید بسیاری از سازمانهای بزرگتر نیاز به این داشته باشند که یا یک کارمند در شبکهی Local آنها حضور داشته باشد یا از طریق VPN متصل شود تا Patchهای لازم روی دستگاههای آنان نصب گردد. اگر کارمندان از راه دور بهطور منظم به VPN متصل نشوند، ممکن است دستگاههای آنها چندین هفته یا ماه بدون Patch باقی بماند. ممکن است تیمهای IT و امنیت مجبور شوند زمانی مخصوص را به ردیابی و دعوت آن کارمندان اختصاص دهند تا دستگاههای آنان به آخرین Patch سیستم عامل یا برنامه کاربردی ارتقا پیدا کند یا دستگاهها طوری پیکربندی شوند که بهطور خودکار Patchها را از منابع اینترنت و مستقیماً از ارائهدهندگان نرمافزار دریافت و بروزرسانی نمایند.
تجزیهوتحلیل رفتاری چطور میتواند به شناسایی الگوهای غیرعادی در دسترسی VPN کمک کند؟
با اینکه تیمهای امنیتی باید بهترین راهکارها را دنبال کنند تا اطمینان حاصل گردد که حریم خصوصی داده و کنترلهای امنیتی آمادهبهکار هستند، این اقدامات معمولاً برای محافظت از دادهها کافی نیستند. تکنولوژیهای تجزیهوتحلیل رفتاری به شما این توانایی را میدهند که فعالیت غیرعادی VPN را که میتواند نشاندهندهی سوءاستفاده باشد شناسایی کنید و پاسخ کارآمدی را ارائه کنید تا از دست رفتن داده، خرابکاری یا دیگر تأثیرات منفی در کسبوکار را به حداقل رسانده یا از آنها پیشگیری نمایید. تجزیهوتحلیل رفتاری میتواند به ما کمک کند که چندین شرایط غیرعادی را شناسایی کنیم که شاید نشاندهندهی فعالیت غیرعادی VPN باشد، مثلاً:
- اتصالات VPN غیرعادی از کاربر
- مدتزمان غیرعادی از VPN Session
- اولین اتصال VPN از یک دستگاه ناشناس
- اتصالات VPN از یک پروکسی ناشناس
- مقدار غیرعادی داده که در طول یک VPN Session آپلود شود
- افزایش دسترسی فایل دادههای مربوط به شرکت
- MFA از یک دستگاه جدید برای یک کاربر
- دسترسی Badge فیزیکی پس از دسترسی VPN
- تعداد زیاد لاگینهای ناموفق
- دسترسی به VPN از حساب کاربری غیرفعال
- IP مبدأ از محلی غیرمجاز
- IP مبدأ VPN مخرب
مزیت تجزیهوتحلیل رفتاری این است که میتواند فعالیت عادی را مشخص کند و سپس بهطور خودکار انحرافات از این فعالیت عادی را که میتواند نشانگر نقض امنیتی باشد پیدا کند. فارغ از اینکه یک سازمان کسبوکاری کوچک باشد یا سازمانی بزرگ متشکل از هزاران کارمند، تجزیهوتحلیل رفتاری میتواند میلیونها Log شامل دسترسی VPN، وب، Endpoint و فایروال را به هم متصل کند و سپس رفتار را برای همهی کاربران و ماشینها در یک سازمان مدلسازی نماید.
بهترین راهکارها برای ایمنسازی سرویس VPN
اینکه نیروی کاری از راه دور کار کند فرصتی را ایجاد مینماید تا برخی از بهترین راهکارها برای ایمنسازی بیشتر محیط اعتبارسنجی گردند. این امر سازمان را راهنمایی میکند تا به ابزار امنیتی موجود یا جدیدی بنگرد که شاید تیمهای امنیتی یا IT برای ارزیابی و بهبود به آنها نیاز داشته باشند.
- اعمال روشهای احراز هویت قدرتمند
بدون روشها احراز هویت قدرتمند، سازمانها خود را در معرض ریسکهایی قرار میدهند که مهاجمین میتوانند با استفاده از آنها دسترسی غیرمجازی به دادههای حساس بهدست آورند. به علاوهی اعمال Single Sign-On یا SSO جهت دسترسی به برنامههای کاربردی مختلف، سازمانها باید گزینههای احراز هویت چندمرحلهای یا MFA را نیز ارزیابی نمایند. SSOو MFA میتوانند احراز هویت ایمنی را برای تمام محیطها فراهم کرده و از هویت و دسترسی به دادهها، هرجایی که کاربران باشند اطمینان حاصل نمایند. این امر بسیار برای سازمانهایی که از VPNها استفاده میکنند و میخواهند وارد Cloud شوند کاربردی است.
- ارزیابی مجدد تمام نقاط ورودی
سازمانها باید علاوه بر VPNها، تمام نقاط ورودی به شبکهی خود را ارزیابی نمایند، از برنامههای کاربردی وب گرفته تا ایمیل تا Cloud و آنها باید تشخیص دهند که آیا مسیری وجود دارد که یک مهاجم بتواند از طریق آن با یک نام کاربری و رمز عبور دزدیده شده، به محیطشان دسترسی پیدا کند یا خیر. هرچیزی که امکان دسترسی را از خارج از شبکهی یک شرکت فراهم نماید باید توسط احراز هویت چندمرحلهای بررسی شود و سازمانها باید نشانههای حسابهایی را که دچار نقض امنیتی شدهاند مانیتور نمایند. این امر میتواند شامل بررسی احراز هویتهای موفقیتآمیز از طریق نام کاربری و رمز عبور، همراه با بررسی تلاشهای احراز هویت چندمرحلهای ناموفق باشد.
- تنظیم مجدد قواعد و Queryهای شکار تهدید
تجزیهوتحلیل رفتاری میتواند برخی از مشکلات تیمهای امنیتی را رفع کند، زیرا این نوع تجزیهوتحلیل بهطور خودکار تغییرات محیطی را تطبیق میدهد و شناسایی تهدیدات را برای تیمهای SOC آسان مینماید. اما تیم SOC باید سعی کند که قواعد موجود و Queryهای شکار تهدید در SIEM خود را مجدداً تنظیم نماید تا به دنبال تکنیکهای مهاجمین بگردد، زیرا تهدیدات پیشرفته معمولاً نشانههایی از پیش تعریف شده ندارند. قواعد و Queryهای شکار تهدید میتوانند به تحلیلگران SOC کمک کنند که هر دسترسی غیرعادی به محیط، حسابهای کاربری سطح بالا، حرکات جانبی یا استخراج دادههای غیرعادی را مانیتور نمایند.
- ایمنسازی شبکههای بیسیم و از راه دور
کارمندانی که از خانه کار میکنند معمولاً از لپتاپهایی استفاده میکنند که از طریق نقطهی دسترسی بیسیم خود به یک کابل یا مودم DLS متصل هستند. متأسفانه بسیاری از روترهای بیسیم هرگز برای امنیت پیکربندی نمیشوند بلکه صرفاً اتصال به آنها برقرار شده و روشن میشوند. باید به کارمندان آموزش دهید که چگونه روترها و رایانههای خود را برای WPA یا WPA2 پیکربندی کنند و توضیح دهید که چرا ایمنسازی شبکههای خانگی آنها مهم است. همچنین کارمندان خود را تشویق کنید که نرمافزار آنتیویروس خود را روی دستگاههای شخصی دیگر که به شبکههای خانگی آنها میپیوندند، بروز نگه دارند. اگر دستگاه شخصی آنها توسط یک مهاجم دچار نقض امنیتی شود و روی شبکهی یکسانی با دستگاه کاری آنها باشد، این امر میتواند شبکهی سازمانی را دچار ریسکهای بیشتری کند.