Keďže útočníci sa v snahe preniknúť do firemných sietí čoraz častejšie zameriavajú na zraniteľný softvér VPN, rastú obavy, že samotné siete VPN predstavujú kybernetické riziko.
Služby virtuálnej súkromnej siete (VPN) sa v posledných rokoch stali základnými nástrojmi využívanými v každej modernej firme. Dvojnásobne to platilo po vypuknutí pandémie v roku 2020, keď mnohé firmy bleskovo prechádzali na prácu na diaľku a služby VPN im pomohli zachraňovať už aj tak dosť chaotickú situáciu.
Šifrovaný tunel
Vytváraním šifrovaného tunela na prenos údajov medzi firemnými sieťami a zariadeniami zamestnancov pomáhajú siete VPN chrániť citlivé informácie bez toho, aby bola ohrozená produktivita zamestnancov alebo došlo k ochromeniu kriticky dôležitých operácií spoločností. Keďže mnohé organizácie odvtedy prešli na hybridný model kombinujúci prácu v kancelárii s prácou na diaľku, siete VPN využívané pri vzdialenom prístupe zostali ich základným nástrojom sieťového pripojenia a zabezpečenia.
Na druhej strane sa sieťam VPN dostáva zvýšenej pozornosti aj z dôvodu pribúdajúcich bezpečnostných zraniteľností a zneužití, ktorým sú vystavené, niekedy dokonca ešte pred vydaním záplat. Keďže siete VPN predstavujú akýsi kľúč od firemného kráľovstva, ich príťažlivosť pre štátmi podporovaných útočníkov a kybernetických zločincov je nepopierateľná. Útočníci investujú značné zdroje do vyhľadávania slabých miest vo firemných softvéroch, čo vytvára ďalší tlak na organizácie a zdôrazňuje význam spoľahlivých postupov zmierňovania rizík.
V dobe, keď stále častejšie dochádza k masovému zneužívaniu bezpečnostných medzier, rozsiahlym útokom na dodávateľské reťazce a iným narušeniam firemnej bezpečnosti, narastajú obavy o to, či siete VPN dokážu ochrániť firemné údaje pred útočníkmi a či samotný softvér nie je ďalším zdrojom kybernetického rizika.
Z toho vyplýva otázka: môžu byť firemné siete VPN bremenom, ktoré zvyšuje riziko potenciálneho útoku na vašu organizáciu?
VPN – kľúč od celého kráľovstva
VPN presmeruje komunikáciu používateľa cez šifrovaný tunel, ktorý chráni údaje pred zvedavými očami. Hlavným zmyslom firemnej siete VPN je vytvoriť súkromné pripojenie cez verejnú sieť alebo internet. Týmto spôsobom poskytuje zamestnancom pracujúcim na diaľku prístup k interným sieťam, ako keby sedeli za svojimi kancelárskymi stolmi, a v podstate robí z ich zariadenia súčasť firemnej siete.
Ale tak ako sa tunel môže zrútiť alebo sa v ňom môžu objaviť praskliny, aj zraniteľná sieť VPN môže čeliť rôznym hrozbám. Častým dôvodom, prečo sa mnohé organizácie stanú obeťou útoku, je zastaraný softvér. Stačí, aby hackeri zneužili zraniteľnosť v riešení VPN, a môžu ukradnúť prihlasovacie údaje, zmocniť sa šifrovaných prenosových relácií, vzdialene spustiť ľubovoľný kód či získať prístup k citlivým firemným údajom. Správa o zraniteľnostiach v sieťach VPN z roku 2023 poskytuje praktický prehľad zraniteľností v sieťach VPN nahlásených v posledných rokoch.
Tak ako každý iný softvér, aj riešenia VPN si vyžadujú údržbu a aktualizácie zabezpečenia na opravu zraniteľností. Zdá sa však, že firmy majú problém držať krok s aktualizáciami VPN, a to aj preto, že siete VPN nezvyknú mávať plánované odstávky a očakáva sa, že budú neustále v prevádzke.
Ransomvérové skupiny sú známe tým, že sa často zameriavajú na zraniteľné servery VPN, a keď sa im čo i len raz podarí získať k nim prístup, môžu sa následne pohybovať po sieti a robiť si, čo sa im zapáči. Napríklad šifrovať údaje a následne požadovať výkupné, exfiltrovať ich, vykonávať špionáž a podobne. Inými slovami, úspešné zneužitie zraniteľnosti otvára možnosti pre ďalšie škodlivé prístupy, čo môže viesť k rozsiahlej kompromitácii firemnej siete.
Varovných príbehov je veľa
Nedávno začala organizácia Global Affairs Canada vyšetrovať únik údajov spôsobený kompromitáciou jej riešenia VPN, ktorá zostala neodhalená najmenej jeden mesiac. Hackeri údajne získali prístup k nezverejnenému počtu e‑mailov zamestnancov a k rôznym serverom, ku ktorým sa ich notebooky pripájali od 20. decembra 2023 do 24. januára 2024. Netreba pripomínať, že úniky údajov majú za následok obrovské finančné škody – v priemere až 4,45 milióna dolárov, ako uvádza spoločnosť IBM vo svojej správe z roku 2023.
Ďalší príklad je z roku 2021, keď sa útočníci napojení na Rusko zamerali na päť zraniteľností v produktoch firemnej infraštruktúry VPN. Bezpečnostná agentúra NSA musela dokonca vydať verejné varovanie, v ktorom vyzvala organizácie, aby čo najskôr nasadili záplaty, inak sa vystavia riziku hackerského útoku a špionáže.
Ďalšie obavy spôsobujú chyby v dizajne, ktoré sa neobmedzujú na konkrétnu službu VPN. Napríklad zraniteľnosti TunnelCrack, ktoré nedávno odhalili výskumníci a ktoré postihujú mnohé firemné a domáce siete VPN, by mohli útočníkom pomôcť oklamať ich obete a prinútiť ich presmerovať komunikáciu mimo chráneného tunela VPN, vďaka čomu by dokázali sledovať ich dátové prenosy.
Na odstránenie takýchto bezpečnostných medzier sú potrebné kritické aktualizácie zabezpečenia, preto je potrebné pravidelne sledovať ich vydávanie. Rovnako dôležitá je aj informovanosť zamestnancov, pretože ďalšia tradičná hrozba spočíva v tom, že útočníci využívajú podvodné webové stránky, aby oklamali zamestnancov a získali ich prihlasovacie údaje do siete VPN. Podvodník môže tiež zamestnancovi ukradnúť telefón alebo notebook, aby prenikol do interných sietí a kompromitoval a/alebo exfiltroval údaje, prípadne potichu sledoval všetky firemné aktivity.
Zabezpečenie dát
Firma by sa pri ochrane zamestnancov a interných informácií nemala spoliehať výlučne na VPN. VPN nenahrádza bežnú ochranu koncových zariadení ani iné metódy overenia.
Zvážte preto nasadenie riešenia Vulnerability and Patch Management, ktoré vám pomôže posúdiť zraniteľnosti a nasadiť záplaty. Inými slovami, pravidelná údržba a bezpečnostné aktualizácie sú jedným z najlepších spôsobov, ako minimalizovať pravdepodobnosť úspešného kybernetického incidentu.
Dôležité je tiež prijať ďalšie opatrenia na zabezpečenie siete VPN proti kompromitácii. Agentúra Spojených štátov pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) a Národná bezpečnostná agentúra (NSA) vydali praktickú brožúru, v ktorej sú uvedené rôzne preventívne opatrenia. Patrí medzi ne napríklad obmedzenie potenciálnych miest útokov, používanie účinného šifrovania na zakódovanie citlivých firemných údajov a spoľahlivých metód overovania (napríklad pridaný druhý faktor vo forme jednorazového kódu) či monitorovanie používania VPN. Používajte sieť VPN, ktorá spĺňa príslušné odvetvové normy a je od renomovaného dodávateľa, ktorý preukázateľne dodržiava osvedčené postupy kybernetickej bezpečnosti.
Žiadny softvér VPN nezaručuje dokonalú ochranu a firma by sa pri správe prístupu nemala spoliehať len naň. Organizácie môžu v prípade zamestnancov pracujúcich na diaľku využiť aj ďalšie možnosti podpory, ako napríklad bezpečnostný model nulovej dôvery, ktorý je založený na nepretržitom overovaní používateľov, či ďalšie kontrolné mechanizmy, medzi ktoré patrí neustále monitorovanie siete, správa privilegovaného prístupu a bezpečné viacvrstvové overenie. K tomu pridajte možnosti detekcie a reakcie na koncových zariadeniach, ktoré okrem iného môžu znížiť riziko potenciálnych útokov, keďže funkcie detekcie hrozieb založené na umelej inteligencii dokážu automaticky upozorniť na podozrivé správanie.
Okrem toho sa zamyslite nad tým, akú službu VPN využívate alebo hľadáte. Každá služba VPN ponúka niečo iné, pretože pod povrchom sa skrýva oveľa viac než len vytvorenie jednoduchého pripojenia k serveru. Môže zahŕňať aj rôzne ďalšie bezpečnostné opatrenia. Služby VPN sa môžu líšiť aj v spôsobe, akým pristupujú k overovaniu používateľov – jedna môže vyžadovať zadávanie prihlasovacích údajov pri každom pripojení, zatiaľ čo v inej ich stačí zadať len raz.
Zopár myšlienok na záver
Hoci sú siete VPN často kľúčovým prvkom na zaistenie bezpečného vzdialeného prístupu, môžu byť – najmä pri absencii iných bezpečnostných postupov a kontrolných mechanizmov – lákavým cieľom útočníkov, ktorí chcú preniknúť do firemných sietí. Už sme boli svedkami toho, ako rôzne skupiny APT (pokročilé pretrvávajúce hrozby) využili známe zraniteľnosti v softvéri VPN na odcudzenie prihlasovacích údajov používateľov, vzdialené spustenie kódu a získanie vzácnych firemných dát. Úspešné zneužitie týchto zraniteľností zvyčajne otvára možnosti pre ďalšie škodlivé prístupy, čo môže viesť k rozsiahlej kompromitácii firemných sietí.
Ako sa pracovné modely vyvíjajú, dopyt po vzdialenom prístupe pretrváva, čo podčiarkuje trvalý význam zaisťovania bezpečnosti zamestnancov pracujúcich na diaľku, ktorá by mala byť základným prvkom bezpečnostnej stratégie organizácie.