组织不应忽视保护VPN连接的必要性,因为如果不这样做可能会致命,但单凭2FA是不够的,安全专家警告说,许多组织实施虚拟专用网络(VPN)访问以提高远程连接的安全性,但存在不应忽视的相关风险。

Varonis Systems的网络安全主管Ofer Shezaf表示,虽然不像勒索软件攻击那样众所周知,但VPN攻击往往是高度针对性的网络攻击的一部分。

“我们很少学习这种攻击中使用的技术手段,但2015年12月对乌克兰电力供应的攻击是这些攻击致命的一个很好的例子,”他告诉计算机周刊。

为了访问系统以关闭变电站的断路器,Shezaf说攻击者窃取了凭据并使用被劫持的帐户通过VPN侵入系统。

他说,其他VPN滥用的例子包括2014年案例,其中美国大型纸张制造商Georgia Pacific的系统管理员被解雇并使用VPN远程访问来销毁制造设备。

在RSA违约是另一个例子,其中黑客窃取用于产生所有RSA的安全ID的渗透,通过他们的VPN使用的安全ID,最值得注意的是偷从机密信息的组织私钥主要国防承包商。

Shezaf表示,减轻VPN黑客攻击的最佳做法是双因素身份验证(2FA)。在实施2FA的情况下,除了密码之外,用户还需要提供其他内容以进行身份​​验证。

2FA最常用的附加因素是文本消息,其他因素是一次性代码应用程序或设备以及生物识别手段,如指纹或面部识别

Shezaf说,2FA很重要,降低了风险,但补充说它“不是防弹解决方案”。他警告说,由于短信通常用于2FA,因此访问某人的手机是绕过2FA的简单方法。更复杂的黑客利用SS7中众所周知的弱点,SS7是电话网络的信令协议,可以访问2FA身份验证文本消息。

“正如RSA事件所显示的那样,绕过2FA不仅可能用于基于短信的2FA,因此虽然2FA能够很好地应对随机的低成本攻击,但是针对攻击者的高级黑客可以找到解决方法,”他说。

Shezaf说,2FA的另一个问题是它不能被普遍使用,因为它可能很难或不可能使用。“例如,如果您正在驾驶,很难将2FA编织到验证序列中,如果在您乘坐飞机时发送代码,则无法访问依赖有限生命文本访问代码的网站,”他说。

因此,许多接口允许在没有2FA的情况下进行某种身份验证,但是黑客可以利用它来获得优势,Shezaf说。

“今天的假设是违规行为将会发生,但必须尽快检测,隔离和减轻。为了增强传统的VPN安全性和2FA,我们需要使用分析来检测攻击,“他说。

例如,为了超越攻击者破坏VPN,可以使用分析来阻止相同用户从相隔数百或数千英里的位置连续两次登录,或者检测暴力攻击或来自已知不良来源的访问尝试。

“ 机器学习可以帮助您了解各种用户通常如何使用VPN,分析他们正常连接的位置和时间,他们在外面使用的内部资源以及他们通常传输的数据量,”Shezaf说。

“高级分析将VPN数据与来自其他来源的数据相结合,以确保更准确和上下文感知检测。如果用户最近没有登录,则从意外的远程位置工作会更加可疑。同样,如果用户同时触摸敏感或陈旧数据,通过VPN连接传输的异常数据也会更加惊人,“他说。

Shezaf说,本课程可以扩展到其他远程访问方法,如远程桌面协议(RDP)和云。

“随着企业采用无边界架构,利用越来越多的云服务,VPN的使用率正在下降。但是,同样的挑战和解决方案也适用于云服务,“他说。

“身份验证再次成为弱点,2FA提供了答案,但它有缺点。用于检测恶意VPN活动的相同分析可用于检测恶意云访问。“

由微软开发的RDP越来越多地作为简单的VPN使用。“由于它比任何特定的VPN产品更常见,它已成为恶意软件的常见目标,”Shezaf说。

“最近几个月,RDP正在挑战逐个下载作为勒索软件的最佳感染媒介。将VPN分析扩展到RDP可以作为这些攻击的出色安全控制,“他说。

Shezaf将于6月6日在伦敦举行的Infosecurity Europe 2018期间更详细地讨论这一主题:题为:VPN黑客剖析:2FA足够吗?安全专家警告说,VPN黑客可能是致命的-IDC帮帮忙