國內外VPN產品安全現狀和趨勢的思考

發布日期:2020-09-09首頁 > 安全資訊

 2019年8月,一伙來自中東的黑客悄無聲息的遛進了美國政府的網站,黑客們帶走了什么沒有人清楚,不過后知后覺的美國政府在幾個月之后才發出了相關漏洞的預警,這個漏洞存在于美國政府的VPN提供商Pluse VPN的產品上,漏洞編號為CVE-2019-11510,據美國FBI的預警,黑客可以利用這個漏洞獲取登錄用戶的名單,讀取服務器的配置,讀取登錄驗證緩存并且拿到高級權限。漏洞一經披露,整個網絡風聲鶴唳,各種受影響的消息鋪天蓋地而來,攻擊者滲透進了數個美國政府的網絡,嘗試獲取了郵件信息,據悉漏洞發生的時候,美國宇航局(NASA),有超過十個帶了這個Bug的服務器暴露在外網。藍星最強的美帝尚且如此狼狽,可見VPN漏洞之普遍。

       自新冠疫情發生以來,越來越多的機構或者企業選擇在家遠程辦公,為了滿足足不出戶就能上課和學習,為了對企業人員進行遠程授權管理,VPN又被推到了時代的聚光燈下。VPN,全稱為虛擬專用網絡,其主要作用是連接處于互聯網上的各個終端,使其能夠像在局域網一樣訪問彼此的資源,并且提供統一的數據加密,授權管理服務,因此在政府、學校、商業機構中被廣泛應用。VPN在疫情期間變得越來越火,企業級用戶激增,其帶來豐厚效益提升的同時也帶來層出不窮的問題。

       為什么VPN是眾多黑客喜聞樂攻的香餑餑

       VPN是從外網進入內網的核心節點,類似的節點還有IPS、IDS等,這些節點是內網和外網邊界的核心節點,如果被攻克的話,黑客就能事半功倍的進入內網,如入無人之境,帶來的收益是及其誘人的,同時VPN這個品類本身的產品滲透率就比IPS、IDS等這些產品高,因此更容易成為黑客最常攻擊的目標。

       以國外的VPN為例,除了上述美國政府面臨的VPN問題之外,在過去一年中海外的其他VPN服務提供商例如:Palo Alto Networks、Fortinet、Cisco等都被披露有嚴重安全漏洞。從身份驗證失效,到遠程代碼執行問題,從登錄信息泄漏,到權限管理失效。以Cisco為例子,最近就出現了遠程代碼執行的漏洞,例如CVE-2020-3323和CVE-2020-3331黑客能夠利用該漏洞控制Cisco用戶的服務器。國內的VPN也一樣,目前國內市場占有率靠前的深信服,其VPN也面臨同樣的情況,也在今年被爆出了漏洞。

       安全廠商需要提升產品安全性并保持透明,用戶也要逐步增強安全意識

       從廠商的角度,VPN廠商應該在加大安全投入的同時還需要確保和客戶保持漏洞信息透明。

       一方面,安全廠商應該建立軟件安全研發流程,積極應用落實SDL或DevSecOps等。在需求、設計、發布、運營的軟件開發全生命周期中落地安全動作,通過安全培訓、威脅建模、安全測試等手段盡可能的前移發現安全漏洞;并通過建立質量門限把關產品安全交付質量,從而提升產品整體安全質量;實時關注安全情報,通過有效及時的應急響應機制,保障安全事件的有效止損和處置,最大化降低安全問題與事件對產品和用戶的影響。

0909_001.png
(圖片來源微軟官網,DevSecOpsin Azure)

       另一方面,安全廠商需要建設更好的產品漏洞通知和維護機制。Google在這方面就做了良好的示范,首先Google實施了漏洞管理流程,其商業化工具和內部專門構建的工具來掃描軟件漏洞,并通過自動和手動滲透工作、質量保證流程、軟件安全審查和外部審核來確保軟件的安全性。然后Google成立了專門的漏洞管理團隊負責跟蹤和跟進漏洞。當Google確定了需要修復的漏洞之后,便會記錄漏洞,并根據嚴重程度確定優先級,然后為其分配所有者。然后Google漏洞管理團隊會跟蹤此類問題,并經常跟進,直至確認問題已得到修復。

       從用戶的角度,也需要意識到VPN作為系統邊界的重要性,要認真對待官方發出的漏洞預警并及時響應?!毒W絡安全法》規定關鍵信息基礎設施的運營者須對重要系統和數據進行容災備份,并對系統漏洞等安全風險采取相應的補救措施。省級以上政府有關部門、中央網信部門、公安部門會對關鍵信息基礎設施不定期開展抽查和檢測工作,針對較大安全風險或安全事件,會提出整改要求,甚至給予行政處罰。

       VPN為各類單位的遠程連接提供了有力保證,使得各類單位的業務能夠快速而高效的擴展到天南海北。雖然目前也有很多從業者在提VPN已經過時,現在應該使用零信任了,但因為短期內零信任的落地障礙,估計VPN被零信任完全取代還有很長的路要走。為確保VPN產品的安全使用,廠商與用戶應齊心協力,一同打造更加安全的網絡環境。

新疆25选7中奖规则 百赢棋牌2019下载 贵州十一选五开奖走势 老k游戏兑换现金 熊猫四川麻将下载安 安徽十一选五中四个有奖吗 腾讯分分彩是正规的吗 捕鱼大富翁破解版ios 华东六省东方6 1开奖结果 大富豪官方网站 四人麻将游戏下载免费 山东11选五开奖结果查 全部彩票网址大全平台 湖南闲来麻将官方网站客服 蓝月亮免费四肖期期谁 老奇人精选16码期期中 娱网棋牌大连打滚子游戏規则