本文6764字 阅读约需 16分钟
如今,分布式和以云为中心的工作环境已经引发了访问方法的巨大转变——从传统的虚拟专用网络(VPN)转向更强大的安全框架(如零信任)。传统上,VPN提供必要的远程访问功能来连接用户或整个办公站点。然而,网络威胁的日益复杂,以及远程劳动力和云技术的扩张,暴露了VPN的重大漏洞。由于其遗留架构,一旦验证了凭据,VPN就会授予过于广泛的网络访问权限,如果这些凭据被泄露,则会大大增加网络攻击的风险。
最近对VPN设备关键漏洞(特别是CVE-2023-46805、CVE-2024-21887和CVE-2024-21893)的利用,已经影响到了包括美国国防在内的重要部门。这些漏洞使攻击者能够通过身份验证,以提升的权限执行命令,并在设备重置后保持持久性。
为此,美国网络安全和基础设施安全局(CISA)向联邦机构发布了一项紧急指令,要求立即断开受影响的VPN设备的连接,同时强制要求采用零信任架构来增强网络安全。这些指令和建议反映了网络安全社区的共识,即零信任提供了更强大的防御能力来应对复杂且不断发展的网络威胁。
《2024年VPN风险报告》基于对647名IT专业人士和网络安全专家的调查,深入探讨了VPN的多方面安全和用户体验挑战,揭示了当今访问管理的复杂性,及其损害组织更广泛安全态势的潜力。该报告还概述了更先进的安全模型,特别是零信任,作为一个强大的和面向未来的框架,它能够确保和加速数字化转型。
一、关键发现
-
VPN攻击呈上升趋势。去年,56%的企业遭受了一次或多次与VPN相关的网络攻击,高于前年的45%,这凸显了针对VPN的攻击越来越频繁和复杂 -
绝大多数人正在转向零信任。78%的组织计划在未来12个月内实施零信任战略。同时,62%的企业认为VPN是“反零信任的”。 -
大多数人对VPN的安全性表示怀疑。91%的受访者表示担心VPN会危及他们的IT安全环境,最近的违规行为说明了维护过时或未打补丁的VPN基础设施的风险。 -
VPN并非勒索软件、恶意软件和DDoS的对手。受访者认为勒索软件(42%)、恶意软件(35%)和DDoS攻击(30%)是利用VPN漏洞的主要威胁,这凸显了企业由于传统VPN架构的固有弱点而面临的广泛风险。 -
横向移动的风险不容忽视。53%的企业经由VPN漏洞遭遇攻击,这表明在攻击的初始点就出现了遏制失败,威胁行为者能够实现横向移动,这凸显了传统扁平网络的风险。
二、VPN的安全问题
1、VPN攻击呈上升趋势
利用VPN漏洞的攻击频率和严重程度突出了传统网络安全措施的无效性,并强调了网络暴露带来的持续风险。调查显示,56%的组织在去年经历过利用VPN漏洞的网络攻击,比前年的45%有显著增长。令人担忧的是,41%的组织报告遭受了两次或更多的VPN相关攻击,这表明存在严重的安全缺口。
【图1:在过去12个月里,您的组织经历过多少次与VPN相关的攻击?】
最近的趋势证实,对VPN的攻击不仅日益频繁,而且日趋复杂。例如,越来越多的勒索软件利用VPN漏洞——特别是在公开披露漏洞之后——凸显了传统VPN固有的关键弱点。这些漏洞为攻击者提供了渗透网络和促进横向移动的入口点,导致了大量数据泄露和运营中断。
2、过去一年关键VPN漏洞排行
过去一年中,影响VPN产品的高危CVE频发。当然,没有任何一家供应商或任何一种特定的技术可以免受软件漏洞的影响。在VPN的情况下,企业面临的挑战是,每个CVE都可能代表企业的单个安全故障点,允许攻击者破坏VPN资产,建立持久性,在网络中横向移动并窃取数据。随着VPN CVE继续以这种速度被披露,对于使用VPN进行远程连接的企业来说,它们将是一个持续的风险。
【图2:最近的一系列VPN CVE】
3、VPN安全担忧情绪高涨
调查显示,绝大多数受访者(91%,高于2023年的88%)表示担心VPN会危及他们的IT安全,这突显了企业对VPN相关风险的高度认识。
最近针对Ivanti VPN的攻击证明了这种担忧是合理的,攻击者利用严重漏洞渗透网络并泄露敏感数据。这些事件涉及CVE-2024-21888和CVE-2024-21893等漏洞,突出了维护和保护过时或未打补丁的VPN基础设施的风险。此外,在当今无边界的数字环境中,VPN的固有架构带来了重大的安全风险。随着企业越来越多地采用云服务和远程工作模式的发展,VPN面临着新的安全挑战,包括管理广泛的访问权限和保护不断扩大的攻击面。
【图3:您有多担心VPN可能会危及您保持环境安全的能力?】
有远见的组织已经开始向更动态、更有弹性的零信任架构过渡,以获得更细粒度的控制,并通过“从不信任”原则(无论是在网络内部还是外部)来显著减少攻击面。采用这种策略可以解决传统VPN的直接漏洞,并与主动的网络安全方法保持一致,这对于适应不断变化的威胁环境至关重要。
4、安全接入关键场景
了解组织使用VPN的原因至关重要,因为它突出了他们如何在各种业务场景中优先考虑安全访问。它还揭示了哪些网络用例最容易暴露于安全风险,指出了需要更强大和创新的访问安全策略的领域。
70%的组织使用VPN主要是为了确保远程员工的访问安全。这种广泛使用使得远程访问成为网络攻击的主要目标。33%的组织使用VPN连接多个站点,这带来了巨大的风险,因为如果不适当保护这些连接,这些连接可能成为网络攻击的载体。26%的组织使用VPN进行第三方访问,由于不同外部利益相关者的不同安全态势以及缺乏对安全策略的控制,这进一步使安全复杂化。此外,20%的组织使用VPN进行校园访问,19%的组织使用VPN进行物联网/OT设备连接。
【图4:您的组织使用VPN的主要目的是什么?】
在当今不断发展的网络威胁环境中,VPN无法再为关键访问用例提供足够的安全性,因为它们基于过时的信任模型,只需简单的用户身份验证即可授予广泛的网络访问权限。这种广泛的访问允许潜在的攻击者利用单个入口点在网络中横向移动并提取敏感数据,从而使组织面临重大风险。
三、VPN管理、性能和用户体验
1、VPN管理面临的挑战
除了固有的安全风险,管理VPN基础设施也给IT团队带来了巨大的挑战,因为在分散的、以云为中心的工作环境中,对强大的访问解决方案的要求越来越高。IT专业人员面临的主要管理挑战是在VPN性能和用户体验之间取得平衡(19%)。这个问题至关重要,因为它直接影响到工作效率:如果VPN减慢了网络速度,或者使用起来太麻烦,就可能会导致员工满意度降低,业务流程变慢、效率低下。
17%的受访者表示,另一个最常见的担忧是VPN连接和稳定性问题的持续故障排除。这些问题不仅耗费IT人员的时间,而且还会对用户造成干扰。其他值得注意的挑战包括VPN与各种设备、操作系统和应用程序缺乏兼容性(16%)。此外,13%的受访者正在努力解决扩展VPN基础设施的复杂性和劳动密集型问题,这是组织发展的关键问题。
【图5:在管理VPN基础设施时,最让人头疼的担忧是什么?】
这些见解强调了组织需要探索更灵活、用户友好且非资源密集型替代方案,例如零信任网络访问(ZTNA)模型。ZTNA提供更细粒度的控制、增强的可扩展性和更少的管理开销,使其成为当今动态网络安全环境中替代传统VPN的最佳选择。
2、VPN用户常见挑战
26%的受访者指出,用户对VPN使用最常见的抱怨是“连接速度慢”。这突出了一个关键的用户生产力和满意度问题,因为慢速会显著降低日常任务和访问基于云的资源的效率,尤其是在居家办公环境中。
“VPN连接中断”是第二大常见问题,19%的受访者提到了这一点。此问题可能会中断正在进行的任务和通信,严重影响用户体验和操作连续性。12%的用户表示,不同设备和平台的用户体验不一致,这表明需要更统一的访问性能。
【图6:当您的用户通过VPN访问应用程序时,最常见的抱怨是什么?】
为了解决这些问题,组织应该考虑采用跨各种平台提供更多稳定性和一致性的网络访问解决方案。实现零信任架构可能特别有效,因为它在不引入性能瓶颈的情况下增强了安全性。零信任网络确保连接问题不会危及安全性,并且访问控制既严格又可适应不同的用户环境。
3、VPN漏洞利用
利用VPN弱点的各种网络攻击凸显了企业面临的风险广度。调查显示,42%的受访者认为勒索软件攻击最有可能利用VPN漏洞,这突出了其严重性和频繁性。紧随其后的是恶意软件感染(35%)和DDoS攻击(30%),它们会破坏系统的可用性、机密性和完整性。
【图7:最可能利用VPN漏洞的网路攻击类型】
为了应对这些漏洞,组织应该采用主动的安全措施,比如零信任模型。零信任强制执行严格的访问控制和对所有网络连接的持续验证,而不管其来源如何。这种策略有效地降低了利用VPN弱点的各种攻击所带来的风险,限制了横向移动并加强了强大的访问控制。
4、第三方VPN风险
该调查强调了组织对第三方VPN访问作为网络安全漏洞的重大担忧。值得注意的是,92%的受访者对这一风险表示理解,比2023年的90%略有上升。这种日益增长的认识凸显了第三方访问作为网络威胁入口的潜力。
对VPN漏洞和破坏的新见解进一步证实了这些担忧。传统的VPN通常提供广泛的网络访问后凭据验证,如果第三方供应商的安全措施受到损害,就会带来风险。
【图8:您有多担心第三方VPN访问成为攻击者进入组织网络的潜在后门?】
组织应该加快从传统VPN到零信任架构的过渡。这种转变包括实现基于身份和上下文严格验证访问请求的系统,限制第三方供应商使用其任务所需的特定资源。
四、VPN基础设施的安全问题
1、对VPN安全过于自信
最近VPN漏洞的激增凸显了感知到的安全与实际风险之间的脱节。最近针对VPN产品的高危漏洞利用强调,即使是准备充分的组织也可能低估了网络对手利用VPN技术固有漏洞的能力。65%的受访者表示,他们对自己的组织处理VPN漏洞的能力“非常有信心”,这可能与不断升级的威胁形势不完全一致,因为老练的攻击者会很快利用哪怕是很小的漏洞。鉴于最近VPN漏洞的复杂性和持久性,过度自信可能尤其危险。
【图9:您对组织检测和缓解暴露于网络安全攻击的VPN漏洞的能力有多大信心?】
组织必须通过整合严格的漏洞评估、频繁的更新和全面的安全意识培训来重新校准他们的安全立场。建议采用分层的安全方法,不过分依赖VPN进行全面保护。该方法应包括高级监控、异常检测和零信任原则的集成。
2、勒索软件攻击向量
33%的受访者指出,“外部暴露资产中的漏洞”是最令人担忧的勒索软件潜在攻击向量。这表明人们普遍认识到与暴露的网络服务或web应用程序相关的风险,这些服务或web应用程序通常是勒索软件攻击的第一入口点。
“被盗的身份”紧随其后,占26%,这突显了受损凭据在帮助攻击者绕过安全措施并获得访问权限以传递勒索软件有效载荷方面所起的作用。对“虚拟桌面基础设施(VDI)漏洞”和“民族国家攻击”的担忧,分别占14%和12%,突出了组织必须防御的勒索软件威胁的多种来源。另有11%的受访者表示担心Scattered Spider,一个使用复杂的社会工程策略的网络犯罪组织。
【图10:作为勒索软件的主要攻击向量,您最担心的是什么?】
组织应该加强他们的防御和身份管理协议。实施全面的漏洞管理流程,采用零信任安全模型,可以通过拒绝访问网络资源和横向传播,有效降低勒索软件攻击的风险。
3、勒索软件担忧
调查显示,52%的受访者“非常或极度担心”由于未修补漏洞而造成的勒索软件威胁。这是合理的,因为未打补丁的漏洞仍然是勒索软件的主要攻击媒介。最近的分析表明,相当一部分勒索软件攻击利用了这些漏洞,与其他类型的网络攻击相比,其影响尤为严重。
勒索软件组织正变得越来越复杂,能够在组织修补漏洞之前迅速利用新发现的漏洞。这种快速的利用周期大大缩短了响应关键漏洞的窗口,突出了对减少攻击面的高级安全措施的迫切需要。
【图11:您有多担心由于未修补的漏洞而成为勒索软件的目标?】
4、VPN攻击中的横向移动
大多数受访者(53%)报告称,超过25%的VPN相关攻击涉及横向移动,这表明在入侵的初始点存在严重的遏制故障。近三分之一(32%)的企业在超过一半的攻击中经历了横向移动,这表明一旦攻击者突破网络防御,控制威胁传播将面临重大挑战。
横向移动是VPN的一个重大风险,因为攻击者可以获得与经过身份验证的用户类似的广泛网络访问权限。这使它们能够跨越网络和敏感区域隐蔽地移动,并将攻击范围扩展到初始入口点之外。解决这个问题需要严格的分段,理想情况下是通过零信任架构对用户到应用程序的流量进行分段,并进行持续监控。这大大减少了横向移动的爆炸半径,为每个用户提供了更小范围的应用,而其余部分则是不可见的。
【图12:在您组织经历过的所有攻击中,涉及通过VPN横向移动的威胁比例是多少?】
五、企业零信任采用现状
1、零信任采用的进展
调查反映了采用零信任安全框架的强烈趋势,强调了越来越多的人认识到它们在增强组织网络安全方面的重要性。31%的受访者已经实施了零信任(高于2023年的27%),这表明他们越来越积极主动地保护网络资源。
此外,27%的组织计划在未来6个月内实施零信任战略(高于2023年的18%),另有20%的组织计划在未来12个月内实现这一转变,这表明在不久的将来向零信任过渡的广泛承诺。
然而,17%的受访者仍在考虑在没有具体时间表的情况下实施零信任战略(低于2023年的23%),这突显出在规划或启动转型方面存在一些犹豫或潜在挑战。只有一小部分(5%)受访者表示不打算采用零信任(低于2023年的8%),这可能是缺乏资源导致的。
根据公司规模进行的分析表明,规模较大的组织——特别是那些员工超过2万人的组织——更有可能、也更快地采用零信任战略,其中33%的组织已经实施了零信任战略。相比之下,拥有1000-5000名员工的小型公司的采用率略低,为29%,这表明规模和资源可用性可能会影响零信任整合的速度和范围。
【图13:您的组织是否计划采用零信任策略?】
仍在观望或计划采用零信任的组织应该从评估其当前的安全态势和网络架构开始,以确定特定的需求和潜在的挑战。
2、VPN是“反零信任的”?
调查结果反映了人们对VPN与零信任安全框架的兼容性的看法存在重大分歧。大多数人(62%)认为VPN从根本上是“反零信任”的,这证实了传统VPN架构不符合零信任原则。相反,38%的受访者认为VPN(特别是基于云的平台)与零信任架构兼容。
【图14:您认为零信任与VPN是否兼容?】
虽然这种观点可能源于VPN供应商声称他们基于云的解决方案符合零信任原则,但重要的是要仔细审查这些承诺。例如,仅仅在云中托管VPN服务并不会自动授予零信任属性。零信任安全需要的不仅仅是一个安全的托管环境;它要求从基于边界的防御向安全是动态的、粒度的和基于上下文的模型的根本转变。
真正的零信任安全包括持续验证所有用户和设备,应用最低权限访问,并对流量进行分段以防止横向移动,这些都是传统VPN(甚至基于云的VPN)无法提供的功能。因此,组织必须确认任何声称的“零信任”VPN实际上包含了这些核心原则,而不是仅仅依赖于营销承诺。
3、从VPN到零信任网络接入
调查结果显示,大多数组织正在进行战略转变,53%的受访者表示计划在不久的将来用ZTNA解决方案取代现有的VPN解决方案。ZTNA提供了一种更灵活、更安全的方法,它基于用户上下文、位置和设备安全性来实施策略,而无需假设基于网络位置的信任。这与传统的VPN形成鲜明对比,后者通常授予对网络的广泛访问,从而产生安全漏洞。
【图15:您是否计划在不久的将来从VPN转移至ZTNA解决方案?】
对于53%转向ZTNA的组织来说,通过规划全面的风险评估、更新访问策略和向用户介绍新协议来确保顺利过渡至关重要。与此同时,47%尚未计划转换的人应该评估他们当前的安全挑战,并考虑ZTNA是否可以比VPN更有效地解决这些问题。
六、2024年及以后的VPN预测
1. 严重的VPN漏洞和利用将会增加
鉴于过去一年披露的VPN漏洞的频率、严重性和规模,企业应该预计这种趋势将持续下去。威胁行为者和安全研究人员都意识到VPN产品中严重漏洞的风险正在增加。反过来,他们也在积极寻找更多的CVE,这可能会在未来几个月或几年内出现更多的CVE。
2. 由VPN引发的高调攻击将成为人们关注的焦点
与第一个预测密切相关的是,我们将看到更多的大型组织披露由于利用VPN漏洞而导致的泄露事件。部分原因是美国证券交易委员会(SEC)的新监管准则要求上市公司披露有重大影响的违规行为的细节。正如我们所看到的,当VPN漏洞出现时,威胁参与者总是在目标环境中创建后门,只是为了在后续活动中利用它们,甚至是在这些漏洞被修补之后利用它们。随着时间的推移,更多此类事件将开始在SEC的公开文件中披露,并成为新闻热点。
3. AI VPN产品的激增将引发对安全和隐私的担忧
随着AI的不断发展,AI驱动的VPN解决方案将充斥市场。然而,企业应该谨慎评估这些产品。尽管它们都承诺将会增强性能,但AI的集成将放大安全风险,并增加攻击者利用VPN漏洞的机会。此外,广泛的数据分析将引起隐私问题,这进一步增加了敏感信息暴露的风险。
4. 针对VPN的密码喷洒攻击将继续增长
攻击者将通过密码喷洒攻击来利用薄弱的密码管理实践和未使用的默认VPN连接配置文件。在此类攻击中,攻击者将尝试在多个VPN帐户上使用相同的密码,直至成功登录并获得未经授权的访问。最近许多备受瞩目的VPN攻击都有效地利用了这种技术,企业应该预料到类似的攻击会持续存在。
5. 企业支出将从VPN转向零信任连接
VPN长期以来一直为企业提供远程连接,但该技术不断增长的安全挑战将使其更难以证明长期支出的合理性。随着企业将零信任作为安全性和连接性的首选架构,企业预算将继续转向零信任计划,以确保远程员工的安全。
END
原文始发于微信公众号(虎符智库):报告:56%企业攻击归咎于VPN漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论