Usar VPN ou não usar VPN?

As vulnerabilidades das VPN tem estado, nestes últimos anos, na berlinda e nas bocas do mundo. Existe sempre alguma vulnerabilidade da qual os oportunistas e criminosos abusam, mas as VPN continuam a ser a solução preferida para a maioria dos que procuram acesso remoto ao redor do mundo. O principal risco reside na forma como as VPN trabalham, sendo que esta não se alterou nos últimos 20 anos: aumentam a abrangência para o utilizador/dispositivo, ligando-os como se estivessem fisicamente numa rede. A confiança está implícita nesta solução, o que levanta um problema: neste mundo moderno, com vários dispositivos e utilizadores a ligar-se a todas as horas, em quem/no que devemos confiar?

A confiança zero está rapidamente a tornar-se no novo paradigma, devido a esta sobre-exposição e a grande superfície de ataque que estas soluções legacy permitem. Com confiança zero, o utilizador é verificado antecipadamente, só depois podendo ligar-se à rede — coisa para a qual as VPN não foram concebidas. As VPN devem continuar a ser utilizadas, mas devem também ser adotadas medidas para garantir uma implementação segura de soluções VPN. É altamente recomendável investigar os conselhos de segurança disponibilizados pelas entidades reguladoras locais a respeito de como deve gerir as suas tecnologias de acesso remoto por VPN.

Pode encontrar um bom ponto de partida nas recomendações que se seguem:

  • Assegure-se de que as suas soluções de VPN têm os últimos patches e estão atualizadas, tanto no lado da gateway como no lado do cliente.
  • Garanta que as configurações de plataforma VPN não foram alteradas, incluindo os ficheiros de Chave de Autorização SSH.
  • Monitorize e analise os seus logs com muita regularidade.
  • Assegure-se de que as contas que utiliza na gateway VPN estão isoladas as suas contas com autenticação por domínio.
  • Adicione uma etapa de autenticação multi-factor (MFA) às suas soluções VPN, dificultando o acesso indevido a elas através das contas.
  • Inclua a autenticação de dispositivos aquando da autenticação dos utilizadores.
  • Caso lhe seja possível, limite as portas expostas pela sua VPN às estritamente necessárias.
  • Ative o split tunneling (divisão de tráfego) quando os utilizadores estiverem, finalmente, ligados à rede, para que as redes externas não fiquem diretamente expostas a redes internas sensíveis e protegidas.
  • Encerre a sua ligação VPN no DMZ, para que possam ser conduzidas uma análise e inspeção completas.

Apesar de ser um bom ponto de partida, a lista anterior é apenas isso — um início. Os ataques aumentam de volume todos os dias, tornando claro que uma VPN - por si só - já não é suficiente. A Safe-T disponibiliza uma solução chamada ZoneZero, que lhe permite adicionar este nível de resolução à sua infraestrutura existente, por forma a melhorar a sua VPN, ativar uma autenticação realmente multifatorial e contínua para as suas sessões de consumo de serviço, garantir essas sessões individuais numa base de autenticação positiva no ponto de consumo e para esse consumo. ZoneZero irá conseguir isto de forma clientless, com uma integração perfeita na sua infraestrutura, com um processo de configuração minimamente intrusivo e com o tempo mais curto na indústria; geralmente, os serviços estão instalados na produção em menos de 2 horas.

1 NCSC, ACSC, CISA, et al.

Uma das ações mais importantes, mencionadas acima, envolve acrescentar a MFA às suas soluções VPN para, assim, melhorar e aumentar a sua segurança. Isto é essencial para proteger todas as suas aplicações, quer sejam legacy ou novos serviços. A maioria - se não todas - as aplicações legacy não estão preparadas para MFA. Quando escolher uma MFA, geralmente ficará limitado a uma opção porque está ligada ao seu IdP. ZoneZero melhora a MFA, tornando-a realmente numa Autenticação Multi-Factor, para que possa usá-la com todas as suas aplicações e serviços (quer suportem MFA ou não). Pode ser usado independentemente de onde os serviços estão alojados, ou de onde estão localizados os utilizadores. Pode ser aplicada quando optar por usá-lo e não somente no início de uma sessão, permitindo uma autenticação contínua.

Além disso, quererá reduzir a sua superfície atacável e o movimento lateralizado dentro da sua infraestrutura de IT expondo os serviços apenas quando estão a ser usados por utilizadores autorizados. Isto é feito ao adotar um modelo de «mínimo privilégio de acesso» e verificando de forma rigorosa o controle de acessos no qual todo o tráfego é registo e inspecionado, por forma a garantir que todos os recursos são acedidos de forma segura - independentemente da sua localização. Este é o Zero Trust Network Access (ZTNA), uma abordagem que considera todo o tráfego como sendo uma ameaça a menos que se determine o contrário (isto é, tudo começa na base de confiança zero). Isto previne a maioria dos riscos que geralmente enfrentaria num ambiente IT, permitindo-lhe mover-se para a frente e para trás com um maior grau de agilidade tanto no campo IT como no de negócios.

Adotar um modelo de mínimo privilégio de acesso e verificar rigorosamente o controlo de acessos, enquanto todo o tráfego é inspecionado e registado para garantir que todos os recursos são acedidos em segurança independentemente da sua localização — isto apenas é possível com a solução de rede de acesso com confiança zero (ZTNA) ZoneZero.

-final do artigo-

Referências:

US- CISA Alert (AA20-133A)
https://us-cert.cisa.gov/ncas/alerts/aa20-133a
Acerca das vulnerabilidades mais aproveitadas em 2020, por atores cibernéticos estrangeiros e sofisticados...
Os atores cibernéticos maliciosos estão cada vez mais a atacar vulnerabilidades sem patch das VPN
Citrix VPN appliances (CVE-2019-19781)
Pulse Secure VPN Servers (CVE-2019-11510)

US- CISA Alert (AA20-259A)
https://us-cert.cisa.gov/ncas/alerts/aa20-259a 

Pulse Secure Pulse Connect Secure - CVE-2019-11510,
Pulse Secure Pulse Connect Secure - CVE-2019-11539
Citrix Application Delivery Controller (ADC) and Gateway - CVE-2019-19781
F5 BIG-IP - CVE-2020-5902

https://www.ncsc.gov.uk/news/alert-vpn-vulnerabilities
Fortinet FortiOS - CVE-2018-13379
Fortinet FortiOS - CVE-2018-13382
Fortinet FortiOS - CVE-2018-13383
Palo Alto PAN-OS - CVE-2019-1579

A ACSC recomenda as seguintes precauções...
https://www.cyber.gov.au/acsc/view-all-content/publications/using-virtual-private-networks

  • Use contas diferentes para ligações VPN
  • Use Multifatoriais com VPN
  • Use Autenticação de Dispositivos
  • Trate todo o tráfego VPN como não-confiável e potencialmente malicioso (Os pontos terminais da VPN devem ficar dentro da DMZ, permitindo a devida inspeção e auditoria de tráfego VPN não-encriptado antes de entrar ou sair da rede)
  • Desative a divisão de tráfego - split tunneling (não exponha uma rede ligada a um adversário)
  • VPN site-a-site — permitir apenas fontes aprovadas - lista de endereços MAC aprovados
  • Empregue práticas de logging eficazes, assim como a análise de logs


Date: November 16, 2020