- производители сетевого оборудования оказываются уязвимы и можно взломать компанию через VPN;
- сотрудники компаний не следят за уязвимостями своего оборудования и не обновляют прошивки, даже если уязвимость уже устранена и есть обновление.
Что нужно делать? Поступать как хакер: постоянно сканировать свои внешние адреса и искать уязвимости. Как только уязвимости найдены - сразу устранять. Нужно выделить специальную группу сотрудников для этого, или хотя бы одного человека, или, наконец, нанять внешнюю компанию. Оставлять эту проблему без внимания можно, только если вам не жалко вашу внутреннюю информацию.
Если вы сетевой администратор, то сегодня же проверьте, что версии VPN шлюза или NGFW (на котором обычно работает VPN шлюз) не содержат публично известных уязвимостей. Также начните использовать двухфакторную аутентификацию и HIP.
Такой VPN называется тоже детским. Обычно это значит, что автор этой дыры в безопасности просто прочитал документацию к каком-то шлюзу, например, это часто OpenVPN и собственно реализовал этот дырявый VPN для своей компании. Да, решение ставится методом next-next-finish, но дает доступ не только сотрудникам, он и всем-всем-всем.
Соответственно, исправление ситуации достигается изменением и повышением безопасности всех трех ошибочных пунктов.
Существуют реально два механизма, которые могут нам помочь дома
Host Information Profile позволяет шлюзу VPN убедиться, что вы подключаетесь с рабочей станции, на которой выполнены минимальные проверки безопасности. Для вас этот фукнционал может быть неожиданностью, однако это стандартные функции корпоративного VPN, который предоставляют такие лидеры рынка VPN как Palo Alto Networks.
EDR/XDR позволяет постоянно контролировать что происходит на рабочей станции, блокировать угрозы и расследовать инциденты, если требуется.
Если вы будете проверять обоими методиками, то вы создадите серьезные проблемы злоумышленнику. Начните!
Сам VPN клиент архитектурно может приземлять ваши IPSEC туннели в сеть и сразу давать доступы к нужным ресурсам: серверам, рабочим станциям. Однако это неверно с точки зрения безопасности - архитекторы приземляют VPN сегодня в NGFW. NGFW это многофункциональное устройство и оно не просто дает вам доступ в сеть как VPN шлюз, но и контролирует домашнего пользователя: что он делает, каким приложением, какие файлы забирает, нет ли там вирусов или не производит ли он сканирование сети. Если вы не используете NGFW для контроля действий сотрудников, которые подключены по VPN, то любой человек делает в сети что ему заблагорассудится, а если это хакер, то он вам всемерно благодарен.
По идее все эти три пункта сделать несложно, но нужно постоянно контролировать изменения, ведь у вас меняются люди, меняется архитектура подключений.
И в заключение важно заметить, что удаленный доступ выявил одну проблему: никто никогда не планировал в компаниях доступы сотрудников. Часто все доступно всем. В случае с удаленным доступом из дома это создало катастрофический объем возможностей для злоупотреблений. В случае, когда люди работали из офиса, то это было незаметно, а вот сейчас, когда человек из дома имеет ко всему, причем ненужному ему по работе - это то, что нужно минимизировать. Обсудите этот проект в своей компании и займитесь минимизацией привилегий. И это срочно!
