Les agences américaines ont publié ces guides alors que les menaces ciblant les VPN continuent de croître.
La NSA et la CISA ont libéré un guide détaillé sur la manière dont les personnes et les organisations doivent choisir les réseaux privés virtuels (VPN) à la fois les États-nations et les cybercriminels intensifient leur exploitation de ces outils dans un contexte de transition mondiale vers le travail à distance et scolarité.
La fiche d'information de neuf pages comprend également des détails sur les moyens de déployer un VPN en toute sécurité. La NSA a déclaré dans un communiqué que le guide serait également utile aux dirigeants du ministère de la Défense, du ministère de la Défense nationale et du ministère de la Défense. des systèmes de sécurité et de la base industrielle de défense afin qu'ils puissent « mieux comprendre les risques liés aux VPN."
La NSA a déclaré que plusieurs acteurs APT étatiques ont utilisé des vulnérabilités et des expositions communes pour accéder aux appareils VPN vulnérables, leur permettant ainsi pour voler des informations d'identification, exécuter du code à distance, affaiblir la cryptographie du trafic crypté, détourner des sessions de trafic crypté et lire des données sensibles à partir d'un appareil.
Le directeur de la NSA, Rob Joyce dit Lors du Sommet sur la cybersécurité d'Aspen cette semaine, « plusieurs acteurs étatiques exploitent les CVE pour compromettre les appareils de réseaux privés virtuels vulnérables ».
Il a écrit sur Twitter, les serveurs VPN sont des points d'entrée dans des réseaux protégés, ce qui en fait des cibles attractives.
"Les acteurs APT ont exploité et exploiteront les VPN - les dernières directives de la NSA et de @CISAgov peuvent vous aider à réduire votre surface d'attaque. Investissez dans votre propre protection!", a-t-il ajouté.
La directrice de la CISA, Jen Easterly, a fait écho aux remarques de Joyce: partage le même message sur l’exploitation par l’État-nation.
L'avis comprenait une liste de produits VPN « testés et validés » sur le marché. Liste des produits conformes au National Information Assurance Partnership, dont beaucoup utilisent l’authentification multifacteur et appliquent rapidement les correctifs et les mises à jour.
Les experts ont félicité la CISA et la NSA pour avoir créé cette liste. Chester Wisniewski, chercheur principal chez Sophos, a déclaré à ZDNet que depuis trop longtemps, il n'y a pas eu de voix de confiance sur les VPN sans un intérêt direct à vous vendre quelque chose.
"Combiner les connaissances et l'expérience de la NSA avec la mission de la CISA d'aider à protéger le secteur privé américain les place dans une bonne position pour fournir des conseils fiables pour rester en sécurité contre les acteurs criminels », Wisniewski dit.
Il a noté que les conseils sont largement copiés sur les suggestions fournies aux entrepreneurs de la défense et aux entités similaires.
"C'est un excellent conseil, mais incroyablement compliqué et fastidieux pour la plupart des entités commerciales. Rien de ce qui est dit n'est faux, mais cela nécessite beaucoup de réflexion et de nombreux processus pour s'y conformer", a ajouté Wisniewski.
"La plupart des organisations sont incapables de suivre une grande partie des conseils. Il est très difficile de bien gérer les VPN, comme le démontre ce document. J'exhorte donc les organisations à privilégier l'accès réseau Zero Trust et le SD-WAN comme moyen plus pratique d'atteindre des objectifs similaires. Plutôt que de reconstruire l’intégralité de votre stratégie VPN pour continuer à l’ancienne, autant dépenser la même chose. temps/ressources pour moderniser votre approche de l'accès à distance et récolter les bénéfices plutôt que de simplement consolider le à l'ancienne."
Heather Paunet, vice-présidente principale d'Untangle, a souligné que les cyberattaques contre les VPN sont très coûteuses en raison des rançons potentielles ou des données accessibles, comme le montre le Exploit Pulse Secure VPN en avril qui a compromis les agences gouvernementales et les entreprises aux États-Unis et en Europe.
Bien qu'il y ait eu une augmentation des vulnérabilités des VPN en raison d'une utilisation accrue des VPN au cours de la dernière année et demie, les nouvelles technologies VPN avec de nouveaux types de La cryptographie évolue pour garantir la protection des informations transmises sur Internet, a déclaré Paunet, soulignant les outils populaires comme WireGuard VPN qui utilisent cryptographie.
"Ce qui manque dans les lignes directrices, c'est la prise en compte de l'élément humain. En plus de suivre des directives strictes, les professionnels de l'informatique ont également pour défi d'amener leurs employés à utiliser efficacement la technologie. Si le VPN est trop difficile à utiliser ou ralentit les systèmes, l'employé est susceptible de le désactiver", a déclaré Paunet.
"Le défi pour les professionnels de l'informatique est de trouver une solution VPN qui respecte les directives, mais qui soit également rapide et fiable afin que les employés l'activent une fois et l'oublient."
Archie Agarwal, PDG de ThreatModeler, a noté qu'une recherche rapide sur le moteur de recherche Shodan révèle plus d'un million de VPN sur Internet dans le monde. Les États-Unis seuls, offrant une porte d’entrée vers des réseaux internes privés sensibles qui sont exposés au monde et que quiconque peut tenter de percer.
"Ceux-ci représentent l'ancien paradigme de sécurité périmétrique et n'ont pas réussi à protéger le château intérieur à maintes reprises. Si des identifiants sont divulgués ou volés, ou si de nouvelles vulnérabilités sont découvertes, la partie est perdue et le château s'effondre", a déclaré Agarwal.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite