пятница, 30 октября 2020 г.

Как исправить ошибки детских VPN в корпоративной сети

Детcкий VPN

В шахматах есть понятие "детский мат", когда неопытный игрок проигрывает партию за 3 своих хода.

В корпоративных сетях ситуация сложилась такая же - очень много инсталляций VPN шлюзов сделано так, что любой хакер проникает внутрь сети за один шаг. 

Основные три ошибки детского VPN:

  1. Логин и пароль единственное, что нужно знать для проникновения в сеть.
  2. Рабочая станция дома никак не защищается и любой хакер попавший на компьютер мгновенно узнает логин и пароль на VPN и следующим шагом попадает в сеть компании с полными правами данного сотрудника.
  3. Сетевое подключение внутри сети никак не защищается и любой сотрудник компании может делать все что угодно: забирать файлы, оставлять файлы, копировать информацию компании или уничтожать.

Такой VPN называется тоже детским. Обычно это значит, что автор этой дыры в безопасности просто прочитал документацию к каком-то шлюзу, например, это часто OpenVPN и собственно реализовал этот дырявый VPN для своей компании. Да, решение ставится методом next-next-finish, но дает доступ не только сотрудникам, он и всем-всем-всем.

Взрослый VPN: MFA, HIP, NGFW

Соответственно, исправление ситуации достигается изменением и повышением безопасности всех трех ошибочных пунктов.

1. MFA. Двухфакторная аутентификация 

Кража и подбор логина и пароля является частой атакой и применяется постоянно. Чтобы минимизировать эту угрозу нужно использовать второй фактор. В современных VPN существует компонент, который позволяет добавить проверку сообщения на телефоне, и это рекомендуется делать. Лидером игроками здесь является компания Okta, но я приведу весь квадрат Gartner где показаны другие проекты позволяющие реализовать второй фактор. Есть еще одна частая ошибка - сертификат считают вторым фактором. Однако он хранится на компьютере жертвы и его нельзя считать за второй фактор. Второй фактор должен быть обязательно на стороннем устройстве.


2. HIP и XDR. Comliance проверки.

Рабочая станция дома - это точка наивысшей опасности. То что мы дали сегодня людям возможность подключаться не с рабочих машин, а с домашних компьютеров - в общем уже большая дыра в безопасности. А то что мы еще и не контролируем ничего там - это просто epic fail. Но главное не бояться! Все поправимо

Существуют реально два механизма, которые могут нам помочь дома

  • проверка состояния хоста клииентом VPN
  • проверка состояния хоста специализированной защитой EDR/XDR

Host Information Profile позволяет шлюзу VPN убедиться, что вы подключаетесь с рабочей станции, на которой выполнены минимальные проверки безопасности. Для вас этот фукнционал может быть неожиданностью, однако это стандартные функции корпоративного VPN, который предоставляют такие лидеры рынка VPN как Palo Alto Networks.

EDR/XDR позволяет постоянно контролировать что происходит на рабочей станции, блокировать угрозы и расследовать инциденты, если требуется.

Если вы будете проверять обоими методиками, то вы создадите серьезные проблемы злоумышленнику. Начните!

3. NGFW

Сам VPN клиент архитектурно может приземлять ваши IPSEC туннели в сеть и сразу давать доступы к нужным ресурсам: серверам, рабочим станциям. Однако это неверно с точки зрения безопасности - архитекторы приземляют VPN сегодня в NGFW. NGFW это многофункциональное устройство и оно не просто дает вам доступ в сеть как VPN шлюз, но и контролирует домашнего пользователя: что он делает, каким приложением, какие файлы забирает, нет ли там вирусов или не производит ли он сканирование сети. Если вы не используете NGFW для контроля действий сотрудников, которые подключены по VPN, то любой человек делает в сети что ему заблагорассудится, а если это хакер, то он вам всемерно благодарен. 


По идее все эти три пункта сделать несложно, но нужно постоянно контролировать изменения, ведь у вас меняются люди, меняется архитектура подключений.

И еще тонкость

И в заключение важно заметить, что удаленный доступ выявил одну проблему: никто никогда не планировал в компаниях доступы сотрудников. Часто все доступно всем. В случае с удаленным доступом из дома это создало катастрофический объем возможностей для злоупотреблений. В случае, когда люди работали из офиса, то это было незаметно, а вот сейчас, когда человек из дома имеет ко всему, причем ненужному ему по работе - это то, что нужно минимизировать. Обсудите этот проект в своей компании и займитесь минимизацией привилегий. И это срочно!