Как обеспечить безопасность при использовании VPN-сервисов

Алексей Белоглазов, технический эксперт по защите от кибератак в Восточной Европе и на Ближнем Востоке Check Point Software Technologies

Remote Access VPN десятилетиями используется для удаленного доступа к корпоративным системам и сервисам.

Главные риски при использовании VPN-сервисов:

• перехват учетной записи пользователя. Чтобы избежать этого важно использовать многофакторную аутентификацию;
• уязвимости VPN-клиента или шлюза, позволяющие злоумышленнику обойти аутентификацию, –– здесь надо регулярно обновлять и ставить патчи, использовать IPS на шлюзе безопасности;
• VPN гарантирует конфиденциальность при передачи данных (шифрование трафика), но не безопасность подключаемых устройств. Существует множество способов скомпрометировать устройство пользователя, с которого осуществляется VPN-доступ. Здесь рекомендуется проверять соответствие подключаемого устройства требованиям политики безопасности (наличие антивируса, обновлений и т.д.) средствами Compliance в составе VPN-клиента; использовать продвинутые средства защиты от угроз нулевого дня: Next-Gen Anti-Virus (NGAV), Endpoint Detection & Response (EDR), Mobile Threat Defense (MTD); реализовать политику условного доступа: автоматически отключать от VPN, если устройство не соответствует требованиям или скомпрометировано злоумышленником.

S2S VPN

Существуют два риска в случае Site-to-Site (S2S) VPN:

• уязвимости VPN-шлюзов – используйте патчи и IPS;
• неоптимальная маршрутизация трафика (задержки и расходы). Здесь рекомендуется использовать SD-WAN для перераспределения трафика между несколькими подключениями в зависимости от приложения и характеристик канала связи.

SASE

В последнее время наблюдается повышенный спрос на решения типа Secure Access Service Edge (SASE), которые включают не только RA VPN, S2S VPN с SD-WAN, но и позволяют перенаправить весь трафик с конечного устройства пользователя через распределенный облачный шлюз безопасности с множественными точками присутствия по миру с целью инспекции трафика на киберугрозы, ограничения доступа пользователей к нежелательным приложениям и сайтам, обеспечения распределенного доступа к корпоративным приложениям в облаке (SaaS) и ЦОД компании, а также с целью защиты от утечек данных по веб (DLP).

Применение SASE позволяет блокировать угрозы в веб-трафике (например, обращения к серверам управления ботнетами, скачивание вредоносов), но, как и в случае RA VPN, остаются риски на уровне конечных подключаемых устройств, которые нужно закрывать агентами защиты класса NGAV, EDR, MTD, устанавливаемыми на само устройство. Это касается как корпоративных, так и личных устройств пользователей.

VPN-сервисы, перенаправляющие трафик через сервер в другой стране

Среди обычных пользователей приобретают популярность VPN-сервисы, которые позволяют перенаправить трафик доступа в интернет через сервер в другой стране с целью обхода блокировки местных регуляторов.

Например, популярное и недавно взломанное мобильное приложение SuperVPN.

Риски:

• в отличие от доверенных провайдеров SASE, с которыми организация-клиент заключает соглашение о неразглашении (NDA), сервисы VPN в облаке могут не соблюдать конфиденциальность передаваемых данных пользователя и фактически реализовывать прослушку (атака типа «человек посередине», Man-in-the-Middle). Также сами сервисы и/или клиентское ПО облачного VPN могут быть уязвимы и взломаны злоумышленниками;
• мобильные приложения облачного VPN зачастую запрашивают расширенные права и могут оказаться вредоносными.
Читайте также:

Дюжина тезисов о будущем распределенных финансов и крипты в частности

Необходимо защищать мобильные устройства от уязвимых и вредоносных приложений с помощью средств категории Mobile Threat Defense (MTD). Простого антивируса или встроенной защиты Apple Store / Google Play недостаточно.