虽然此前虚拟专用网(VPN)促进了网络安全,但现代企业环境不断发展变化的需求,显然不是目前的VPN设计所能满足的。
人类离不开安全感。早期历史遗迹中就有防御工事的痕迹,建造的目的是抵御其他部落的攻击。
当今信息时代,对安全的渴求依然深埋骨髓。只不过,我们为保障安全而采取的措施多流于表面。我们购买复杂昂贵的网络防御措施,却发现这些解决方案实在难以操作,各种错误配置一直在为攻击者未授权访问大开方便之门。想要吓阻员工偷盗,吝啬的企业主安装的却是监控摄像头模型。给员工设置了拜占庭式密码策略,没想到一场网络钓鱼电子邮件攻击就能轻松突破策略,让攻击者扬长而入。
这些所谓的防御措施真的让我们更安全了吗?还是说,不过是让我们“感到”更加安全?
安全大师布鲁斯·施奈尔(Bruce Schneier)用“安全做戏”一词来形容这个悖论,指出安全既是感觉,也是现实。施奈尔写道:“安全做戏倾向源自公众与领导者之间的相互作用。人在恐惧时需要做些能让自己感到安全的事情,即使这些事情并不能真让自己更加安全。”
面对未知新威胁,企业安全也常沦为此类自反性方法的受害者。持续采用虚拟专用网(VPN)就是此类现象的绝佳案例。确实,VPN一度改善了网络安全,但其设计并不能满足当今现代企业不断变化的要求。
没时间自满
25年前,VPN是当时的前沿技术,为用户安全访问受保护网络资源提供了相对简单的方法。尽管二十多年来技术创新方兴未艾,VPN仍然是当今广大民众安全远程访问的代名词。
在一系列趋同因素的影响下,这种情况如今甚至有所强化。新冠疫情迫使数百万工人在家办公,CISO不得不担负起责任,在不损害安全的情况下提供远程访问。与此同时,云计算和大规模移动性打破了边界范式,为数据保护提出了新需求,要求无论数据位于何处都应处于安全状态。
长期以来,公司企业若希望实施安全远程访问解决方案,往往默认安装传统VPN技术,在原有VPN技术投资基础上做扩展,而不是转向新一代安全远程访问解决方案。如今是时候淘汰VPN了。VPN这种自欺欺人多过实际安全的技术,有三大理由应予以淘汰。
VPN备受漏洞困扰
VPN漏洞警报一直红灯高悬,几乎每个月都有新的警报发布。今年6月,美国国家安全局(NSA)发布新的警告称,如果保护不力,VPN可能易遭攻击,敦促各公司企业修复可致无密码控制设备的一个关键漏洞,防止攻击者以此为跳板染指整个网络。
然而,即使补丁已推出数月,也只有极少数公司企业迅速部署了补丁;一些行业调查估计,70%的已知漏洞在发现后一个月内仍未修复。
VPN复杂、昂贵、脆弱
正如久经战阵的CISO所言,复杂性是安全的敌人:即使是现代VPN系统,也需要相当程度的人工干预,而这些干预容易出现配置错误和其他操作失误。
与其他现代替代方案相比,VPN昂贵依旧,还需要大量的网络资源和人力资源才能维持正常运行。例如,在.mil和.gov防火墙中,数以万计的防火墙规则里约有80%与VPN管理相关。管理和配置这些规则会产生巨大的成本投入(例如人力、培训、许可和硬件),也会给最终用户和IT员工带来麻烦,增加大量潜在灾难性风险的暴露面。
VPN已成为恶意黑客和民族国家极具吸引力的攻击目标
恶意黑客一直以来都积极关注特别针对VPN的漏洞,但在过去几年中,此类漏洞一跃成为黑客眼中极具吸引力的目标:因为一旦成功利用,黑客便可获得不受约束的完整系统访问权限,为搜寻敏感数据打下桥头堡。
正因如此,民族国家特别热衷于利用这些可为控制整个网络埋下垫脚石的关键漏洞。例如,2019年末,据称伊朗黑客成功入侵了某企业VPN应用程序,由此实施“擦除器攻击”,清除了接入此网络的大多数计算机上的数据。REvil勒索软件背后的团伙也忙于利用已知Citrix和Pulse Secure VPN漏洞,尝试敲诈全球各关键基础设施企业。
迈向软件定义边界
虽然过去二十多年来企业在VPN上投入了大量资金,但如今止损的时候到了,是时候考虑围绕零信任框架构建软件定义的未来了。
公司企业使用软件定义边界(SDP)可减少50%到75%的安全远程访问开支;大幅减少培训、人力和间接开销需求;促进自身零信任安全策略实施。SDP的其他关键属性还包括网络微分隔功能、最小权限用户访问功能和“合规连接”(comply-toconnect,C2C)功能,确保设备在接入网络前应用补丁和强化配置。所有这些不仅有助于降低用户的操作复杂性,而且能给攻击者添加阻碍,让他们更难以将小突破转化为全面的数据泄露。
尽管我们生活在充满不确定性的时代,但支持数字化转型举措的CISO无疑会将这一挑战视为机会,重新思考现有安全模式,投资能够满足现代企业要求的安全框架。
看戏固然轻松愉快,但我们是时候少些做戏多些安全实绩了。
关键词:VPN
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。