ה-NSA מתריעה: פתרונות VPN עלולים להיות חשופים להתקפות סייבר

ה-NSA, הסוכנות לביטחון לאומי של ארה"ב, הנפיקה התראה אבטחת מידע חדשה, לפיה רשתות וירטואליות פרטיות, VPN, עלולות להיות פגיעות למתקפות סייבר, אם הן אינן מאובטחות כראוי.

ההתרעה של הסוכנות מגיעה בתקופה בה היקפי העבודה מרחוק מזנקים וארגונים מתאימים עצמם למגבלות שמחייב נגיף הקורונה.

VPN מאפשרות למשתמשים ליצור ערוץ תקשורת פרטי ומוצפן אל רשת אחרת – על גבי האינטרנט. פתרונות

ה-VPN נמצאים בשימוש נרחב על ידי ארגונים, על מנת להגן על הנתונים שלהם מפני האקרים כשעובדים מתחברים לרשת מרחוק.

בכיר בסוכנות אמר כי הגידול בהיקפי העבודה מרחוק משך את תשומת הלב של שחקני האיום בסייבר. "אנו רואים מיקוד ברור של גורמים עוינים בתשתיות העבודה מרחוק", אמר הבכיר, "ראינו ניצול ודאי של פרצות".

"שערי גישה ל-VPN פגיעים לסריקות מהרשת, התקפות של פריצה כוחנית (brute force) והתקפות יום אפס", נכתב בהתראת הסוכנות, "מנהלי רשתות צריכים להטמיע חוקי סינון קפדניים בכל הקשור לתעבורה דרך VPN, כדי להגביל גישה לפורטים, פרוטוקולים וכתובות IP".

ההתראה הונפקה על ידי מנהלת אבטחת הסייבר של הסוכנות, שהוקמה באוקטובר האחרון. אז התריעה המנהלת על גורמים עוינים במימון מדינה התוקפים מכשירי VPN. בינואר השנה היא עמדה מאחורי פרסום פגיעות קריטית ב-Windows 10. במאי היא האשימה יחידת האקרים של הצבא הרוסי בגישה חשאית לתוכנת דואר אלקטרוני נפוצה. המנהלת הדגישה אז כי מדינות הופכות לאגרסיביות ומתוחכמות יותר ברדיפה שלהן אחר מטרות ממשלתיות ופרטיות.

"אתה לא יכול לאבטח את מה שאתה לא רואה"

שנדיפ קומר, מנהל מוצר בכיר, פורסקאוט. צילום: יח"צ

לדברי שנדיפ קומר, מנהל מוצר בכיר בפורסקאוט (ForeScout), "בעוד ה-VPN מאבטח ערוצי תקשורת אל הרשת הארגונית, הוא אינו מאבטח את המכשיר עצמו, ואינו מנטר את הפעילות בעת החיבור לרשת הארגונית. עם ההיקף הגדל של תקשורת בית-עבודה, ולאור פערי האבטחה הקיימים, קיימות אינדיקציות לגורמי איום, הממקדים מאמצים בתקיפת מישור ההתקפה החדש שנוצר. אם ארגונים לא מבססים תהליכי היגיינה למכשירים מרוחקים – הם עלולים למצוא את עצמם בסיכון".

לדבריו, "המעבר המהיר לעבודה מרחוק דורש מארגונים להסיר מגבלות על שימוש במכשירים אישיים של עובדים מרחוק. סביר להניח שמכשירים אלה אינם מתוחזקים ברמה הגבוהה ביותר, וישנה סבירות גבוהה יותר שהם יהיו לא מעודכנים, לא מוגנים ולא מנוטרים. התקנה של VPN בלבד על המכשירים כאלה אינה מספיקה כדי להגן עליהם, ועלולה להוביל לתוצאות בלתי רצויות, וליצור אפיק תקיפה נוסף".

קומר הוסיף כי "רוב רשתות ה-Wi-Fi הביתיות אינן כוללות את אותם הבקרים כמו של רשתות ארגוניות. בקרי הרשת והמכשירים עובדים יחד להגן ולזהות חדירות. בלא בקרי הרשת בסביבה הביתית, אבטחת המכשיר וההיגיינה שלו הופכות לקו ההגנה המרכזי".

הוא סיים אומרו כי "משתמשים העובדים מהבית עלולים להביא עימם אל תוך הרשתות הארגוניות גם התנהגות מסוכנת, אפליקציות שאינן מאושרות, וזרימה של נתונים בעלי סיכון גבוה. בנוסף, מכשירי IoT ביתיים המחוברים לרשתות ביתיות עלולים לשמש עוד משטח תקיפה. חינוך מתמשך של משתמשי הקצה הוא חיוני במצבים כאלה, במיוחד לאור העובדה שקשה לחזות כמה זמן יימשך המצב.
מומלץ לאמץ שלוש פעולות: ניראות מלאה של כל המכשירים המרוחקים המתחברים אל הרשת – אתה לא יכול לאבטח את מה שאתה לא רואה – כדי להפעיל מדיניות אבטחה ייעודית למכשירים ולנטר את ההתנהגות ואת תעבורת הרשת שלהם; הרחבה של אותה רמה של אכיפת היגיינת הסייבר גם למכשירים מרוחקים – רשתות ביתיות הן מאובטחות פחות מטבען ולכן ההיגיינה והאבטחה של מכשירים הופכות לקריטיות; אכיפת בקרי גישה וסגמנטציה, כדי לצמצם את זמן התגובה. ארגונים פועלים מחוץ לתנאים הרגילים שלהם, ולכן נדרשים ניטור רציף ואכיפת מדיניות, כדי למנוע מאירועי סייבר להתדרדר מחוץ לשליטה".