Dlaczego złe wykorzystanie VPN może być niebezpieczne?

Secfense wyjaśnia Dlaczego złe wykorzystanie VPN może być niebezpieczne

VPN NIEdobry na wszystko?

Nie wiem czy słyszeliście o głośnej kilka lat temu sprawie związanej z prowadzonym śledztwem na temat nieautoryzowanego kodu znalezionego w oprogramowaniu firmy Juniper. Działał on jak furtka do przeprowadzenia cyberataku na urządzenia, które pod nim pracowały. Z raportu wynikało, że najprawdopodobniej nieautoryzowana luka w oprogramowaniu została umieszczona tam celowo, została zaprojektowana również tak, aby była bardzo trudna do wykrycia. O nowych faktach w tej sprawie ostatnio poinformował na swoich łamach Bloomberg.

Czy VPN ma sens

Dlaczego o tym piszę i jak to się ma do silnego uwierzytelniania, którym na co dzień zajmujemy się w Secfense? Obserwujemy, że w wielu przypadkach, a szczególnie podczas powszechnej teraz pracy zdalnej, firmy próbując przystosować się do nowej rzeczywistości wykorzystują VPN-y do wpuszczania do swojej sieci pracowników z zewnątrz. To nienajlepsze rozwiązanie. I pomimo tego iż, VPN ma bardzo szerokie zastosowanie, i tylko jedną z jego ról jest wpuszczanie pracowników z zewnątrz do aplikacji, to w przypadku Juniper taka praktyka okazała się szkodliwa. Jeśli firma wystawiłaby aplikację na zewnątrz i zabezpieczyłaby ją silnym uwierzytelniania interfejsu logowania, powierzchnia ataku byłaby znacznie mniejsza.

1
VPN ma bardzo szerokie zastosowanie i tylko jedną z jego ról jest wpuszczanie użytkowników z zewnątrz aplikacji.

Kiedy używać VPN?

Wniosek?

Po pierwsze, stosowanie VPN-a do wszystkiego, co możliwe jest nie tylko nieefektywne, ale również niebezpieczne. Po drugie, „rozciąganie” go na zabezpieczanie aplikacji webowych jest zupełnym zaprzeczeniem zasad projektowania efektywnego cyberbezpieczeństwa, które właśnie ze względu na różne podatności i backdoor-y, powinno budowane być warstwowo, czyli na tzw. cebulę i w sposób dywersyfikujący metody zabezpieczeń. 

Odsyłam do koncepcji zero trust i zgłębienia tematu silnego i prostego w implementacji uwierzytelniania, które proponujemy właśnie w User Access Security Broker.

The CEO and co-founder, Tomasz Kowalski, has nearly 20 years of experience in the sale of IT technology, he was involved in hundreds of hardware and software implementations in large and medium-sized companies from the finance, telecommunications, industry and military sectors. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.