縮小供應(yīng)鏈中的安全漏洞

企業(yè)很自然地信任他們的供應(yīng)商，經(jīng)常發(fā)展長(zhǎng)期的合作關(guān)系。然而，在過去的幾年里，供應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)罪犯的主要目標(biāo)，他們?cè)噲D利用這種關(guān)系經(jīng)常造成的軟肋。除了由不安全的供應(yīng)鏈導(dǎo)致的任何數(shù)據(jù)泄漏或社會(huì)工程風(fēng)險(xiǎn)外，許多企業(yè)選擇在組織之間部署持久的虛擬專用網(wǎng)(VPN)連接，而沒有意識(shí)到所涉及的固有風(fēng)險(xiǎn)。如果實(shí)現(xiàn)得不好，持久的VPN連接可能會(huì)對(duì)安全保障良好的組織造成嚴(yán)重的安全風(fēng)險(xiǎn)。

vpn是在多個(gè)網(wǎng)絡(luò)之間以安全的方式共享數(shù)據(jù)的一種有效方式，它加強(qiáng)了隧道中數(shù)據(jù)的保密性和完整性。然而，在許多情況下，vpn是針對(duì)正在傳輸?shù)臄?shù)據(jù)所采取的唯一數(shù)據(jù)安全措施。這就產(chǎn)生了一個(gè)重要的漏洞，攻擊者可以利用它。

這是因?yàn)関pn在不同的網(wǎng)絡(luò)之間創(chuàng)建了一個(gè)隧道，就像字面上的物理連接一樣。如果攻擊者可以破壞一端的主機(jī)，那么VPN就可以像一個(gè)不透明的管道一樣，連接到放置另一端的任何地方，即使這是在一個(gè)非常有效的安全體系結(jié)構(gòu)中。雖然客戶可能有強(qiáng)大的安全控制，但這可能不是供應(yīng)商的情況，從而邀請(qǐng)攻擊者進(jìn)入您的數(shù)字資產(chǎn)的軟肋。

vpn最近也成為了高級(jí)持續(xù)威脅(Advanced Persistent Threat，簡(jiǎn)稱APT)行動(dòng)者的攻擊目標(biāo)，國(guó)家網(wǎng)絡(luò)安全中心(NCSC)已就如何檢測(cè)惡意活動(dòng)向各組織發(fā)布了警告和建議，顯示出這種技術(shù)的脆弱性日益增強(qiáng)。簡(jiǎn)單地說，VPN的安全性取決于它的配置和圍繞它的附加安全措施，以管理通過它的流量。

現(xiàn)在有大量面向企業(yè)的現(xiàn)代VPN技術(shù)——從特定于供應(yīng)商的實(shí)現(xiàn)，從您的防火墻或網(wǎng)絡(luò)監(jiān)控供應(yīng)商，到專用設(shè)備和強(qiáng)大的開源競(jìng)爭(zhēng)者，如OpenVPN和Strongswan。然而，業(yè)界已經(jīng)看到了更多遺留VPN協(xié)議的案例——特別是沒有IPSEC加密的PPTP和L2TP——在這些協(xié)議中，歷史的實(shí)現(xiàn)決策已經(jīng)損害了現(xiàn)代世界的安全性。因此，最好選擇現(xiàn)代的、知名的協(xié)議和供應(yīng)商技術(shù)。

為了在任何基于ip的VPN中實(shí)現(xiàn)最大程度的安全性，企業(yè)應(yīng)該避免攻擊模式，并確保同時(shí)啟用AH和ESP。他們還應(yīng)該考慮為安全關(guān)聯(lián)禁用ISAKAMP和IKEv1 (IKEv2目前還可以)。對(duì)于OpenVPN和其他基于TLS的選項(xiàng)，企業(yè)應(yīng)該了解底層TLS/SSL密碼中可能存在的潛在致命弱點(diǎn)，并采取相應(yīng)的行動(dòng)。

為了獲得最大的安全性(但可能需要復(fù)雜的互操作性)，可以使用TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384這樣的密碼，AES-256-GCM是可靠的，可以考慮使用Curve25519作為DH交換，而不是更可靠的替代方案。如果你想要一些令人興奮的東西，試試查查20- poly1305 AEAD。

對(duì)今天的中小企業(yè)來說，“深入防御”是實(shí)現(xiàn)有意義的安全的唯一真正途徑。該方法結(jié)合了多層控件，這些控件相互支持，而攻擊者必須在應(yīng)用程序、主機(jī)和網(wǎng)絡(luò)之間擊敗或繞過多層保護(hù)。

這種安全層的明智組合，包括主機(jī)加固、防火墻、網(wǎng)絡(luò)隔離以及對(duì)進(jìn)出VPN的數(shù)據(jù)進(jìn)行內(nèi)容檢查，將確保一個(gè)組織的IT基礎(chǔ)設(shè)施的所有元素不會(huì)同時(shí)遭到破壞。這不僅為偵查和響應(yīng)提供了更多的時(shí)間，還降低了組織對(duì)路過的網(wǎng)絡(luò)罪犯的“低掛果”吸引力。此外，不要盲目信任來自供應(yīng)商的VPN安全端點(diǎn)的流量，將VPN保留在DMZ中，并受其他入站公共連接的相同控制。

我不愿鼓吹GDPR，但保護(hù)組織數(shù)據(jù)變得更為重要。在攻擊期間成功利用的不適當(dāng)部署的第三方VPN連接將與第32條所定義的“考慮當(dāng)前技術(shù)水平”的方法相違背，這可能會(huì)將原本安全良好、投資密集型的安全策略的有效性降低到零。

由于新規(guī)范要求數(shù)據(jù)處理程序和控制器分擔(dān)責(zé)任，因此在共享任何數(shù)據(jù)或提供對(duì)其網(wǎng)絡(luò)的訪問之前，企業(yè)必須仔細(xì)考慮供應(yīng)商的網(wǎng)絡(luò)和端點(diǎn)安全性。選擇一種深入防御的方法，包括在你的財(cái)產(chǎn)中有意地放置和管理vpn，可以幫助企業(yè)在面對(duì)網(wǎng)絡(luò)威脅、惡意軟件攻擊或入侵的后果時(shí)保持彈性和漂浮。

vpn是合法的、有用的安全工具，但是在使用時(shí)應(yīng)該非常小心。采取“設(shè)計(jì)安全”的方法，并將vpn作為分層安全戰(zhàn)略的一部分，可以使組織更容易地與他們的供應(yīng)商鏈進(jìn)行接觸，在保持保護(hù)的同時(shí)利用業(yè)務(wù)利益。