O quanto sua VPN é segura?
De importância perene, a segurança da rede privada virtual (VPN) agora é imprescindível devido à atual pandemia de COVID-19. O trabalho remoto rapidamente se tornou o novo normal e, consequentemente, a demanda por recursos de VPN disparou. Infelizmente, embora não seja surpresa, os ataques a VPNs aumentaram drasticamente. Ressaltando a gravidade, em março a Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos emitiu o Alerta AA20-073A sobre Segurança de VPN Corporativa.
Essencialmente, as VPNs estendem o perímetro da rede corporativa e permitem que os usuários acessem aplicativos corporativos em qualquer lugar. A infraestrutura local efetivamente fica a “um salto” (ou um clique) de distância do dispositivo do usuário. Da mesma forma, o risco de segurança dos ativos corporativos também fica a um passo de distância. Os invasores podem não precisar mais comprometer camadas sofisticadas de segurança de perímetro (proxies, WAF, detecção de intrusão e assim por diante), mas apenas uma única vulnerabilidade ou uma implementação insegura de uma VPN pode expor ativos corporativos e informações pessoais.
Neste artigo, vamos nos concentrar em algumas das principais áreas que são críticas na avaliação da segurança da sua VPN.
Postura de segurança de endpoint
Os usuários normalmente iniciam um túnel SSL VPN a partir de seus dispositivos de endpoint, como desktops, laptops e celulares. Esses endpoints se tornam pontos de entrada e alvos principais para criminosos que tentam usá-los como vetores de ataque. Portanto, é importante que você sempre garanta que um ponto de extremidade seja seguro antes de estabelecer um túnel VPN. A segurança de endpoint é uma abordagem estratégica para garantir que um dispositivo cliente não apresente um risco de segurança antes de receber uma conexão de acesso remoto à rede. Tal estratégia pode implicar a verificação sistemática do certificado da máquina cliente e a verificação do tipo de cliente e/ou da versão do navegador do cliente, a verificação de patches do software antispyware e antivírus e a inspeção das regras de firewall do cliente, como exemplos.
A avaliação da postura de segurança do endpoint geralmente ocorre no início da sessão, antes de estabelecer um túnel VPN, mas também pode acontecer periodicamente durante a sessão VPN do usuário. A avaliação contínua da postura de segurança de endpoints atenua riscos subsequentes ao verificar se os endpoints não foram comprometidos após o estabelecimento do túnel VPN inicial.
Autenticação e autorização do usuário
A autenticação consiste em verificar a identidade dos usuários antes de estabelecer um túnel VPN. A verificação das credenciais dos trabalhadores remotos garante que apenas usuários legítimos tenham acesso aos recursos e aplicativos internos.
No entanto, com o aumento dos métodos de preenchimento de credenciais e aquisição de contas (ATO), um invasor pode aparentemente estar de posse de credenciais de usuário válidas e ignorar a autenticação de fator único. Portanto, torna-se essencial implementar autenticação multifator para sua VPN.
Autenticação multifator (MFA)
O MFA aumenta a segurança solicitando que os usuários forneçam dois ou mais fatores de autenticação verificáveis antes de estabelecer um túnel VPN. Essa abordagem permite efetivamente que a MFA bloqueie 99,9% dos ataques de aquisição de conta (ATO), de acordo com estimativas do setor. Fatores comuns de autenticação são:
- Algo que o usuário sabe , como uma senha, um PIN ou um gesto do touchpad
- Algo que o usuário possui , como um token físico ou de software ou um certificado
- Algo que o usuário é , ou seja, uma entrada biométrica, como impressão digital, escaneamento de retina ou reconhecimento facial ou de voz
Depois que um usuário é autenticado, as políticas de autorização avaliam o conjunto de permissões do usuário para conceder acesso específico a recursos e aplicativos internos, além de impor restrições apropriadas. O acesso é concedido usando diferentes modelos de permissão, como controle de acesso baseado em função (RBAC). Privilégios e preferências específicos podem ser aplicados aos usuários de VPN implementando controles de segurança adicionais, como ACLs, durante o estabelecimento do túnel VPN.
Confidencialidade e integridade dos dados
A criptografia fornece confidencialidade e integridade aos dados, pois os dados corporativos são transmitidos por redes públicas ou compartilhadas por meio do túnel VPN.
Para divulgar dados confidenciais, agentes mal-intencionados podem tentar roubar chaves privadas, explorar vulnerabilidades conhecidas na implementação criptográfica ou quebrar parâmetros criptográficos fracos.
Ao configurar uma VPN SSL, você deve considerar o gerenciamento de troca de chaves e a força das cifras criptográficas. Versões anteriores ao TLS1.3 contêm falhas conhecidas na definição do protocolo e em sua implementação. Outras explorações incluem o abuso de renegociação de clientes e o uso de primitivas criptográficas fracas, como fluxo RC4 e cifras de nível de exportação.
Ataques DDoS em VPN
Quando a maioria ou todos os seus funcionários são trabalhadores remotos, a disponibilidade do seu servidor VPN (às vezes chamado de concentrador de VPN) também se torna crítica para a continuidade dos negócios. Por outro lado, os servidores VPN podem ser um alvo principal para agentes mal-intencionados que tentam sobrecarregar seus servidores VPN com solicitações automatizadas distribuídas aleatoriamente, tornando a VPN indisponível para usuários legítimos.
As VPNs SSL são acessíveis por meio de um endereço IP/URL (no navegador da Web ou configurado em um cliente VPN), o que as torna suscetíveis aos mesmos padrões de ataque DDoS que têm como alvo servidores da Web, como inundação de HTTP, inundação de SSL, renegociação de SSL, ataque de combinação de TCP e assim por diante.
Portanto, para garantir a continuidade dos negócios por meio de sua VPN, pode ser essencial configurá-la para detectar e mitigar ataques DDoS como parte de sua estratégia de segurança mais ampla.
Mais recursos: