Bezpieczeństwo VPN – Narodowa Agencja Bezpieczeństwa rekomenduje MFA

Rekomendacje NSA i CISA względem bezpieczeństwa sieci VPN

NSA, czyli Narodowa Agencja Bezpieczeństwa (National Security Agency), organ wywiadowczy Stanów Zjednoczonych oficjalnie rekomenduje uwierzytelnianie wieloskładnikowe (MFA) do zabezpieczenia wirtualnych sieci prywatnych (VPN).

Bezpieczeństwo VPN – rekomendacje zabezpieczeń VPN

Wirtualne sieci prywatne (VPN) umożliwiają użytkownikom zdalne łączenie się z siecią firmową za pośrednictwem bezpiecznego tunelu. Dzięki temu tunelowi użytkownicy mogą korzystać z wewnętrznych usług i zabezpieczeń, takich jak narzędzia poczty e-mail czy repozytoria wrażliwych dokumentów. Ponieważ serwery VPN są punktami wejścia do chronionych sieci, są najczęstszymi celami ataku cyberprzestępców. 

NSA, czyli Narodowa Agencja Bezpieczeństwa Stanów Zjednoczonych we wrześniu 2021 roku wystosowała kartę informacyjną z zaleceniami jak w odpowiedni sposób zabezpieczyć usługę VPN. Dokument nosi nazwę NSA, CISA | Selecting and Hardening Remote Access VPN Solutions. Poniższy tekst jest skrótem najważniejszych zagadnień wspomnianych w tym raporcie. 

Bezpieczeństwo VPN - Narodowa Agencja Bezpieczeństwa rekomenduje MFA
Bezpieczeństwo VPN – Narodowa Agencja Bezpieczeństwa rekomenduje MFA

Raport NSA na temat bezpieczeństwa VPN

W raporcie podkreślono znaczenie wybierania VPN bazujących na standardach i dostarczanych przez renomowanych dostawców, z udokumentowanym doświadczeniem w szybkim usuwaniu znanych luk w zabezpieczeniach i przestrzeganiu najlepszych praktyk dotyczących korzystania z silnego uwierzytelniania.

Istotnym było też to, aby VPN wzmacniać przed włamaniem zmniejszając powierzchnię ataku. NSA szczególnie wskazuje działania takie jak:

  • konfiguracja silnego uwierzytelniania i kryptografii
  • uruchomienie tylko ściśle niezbędnych funkcji VPN
  • ochrony i monitorowania dostępu do i z sieci VPN

Wykorzystywanie podatności

Jednym z najczęściej rodzajów ataków jest atak wykorzystujący podatności (np. w samym kodzie systemow VPN). W przypadku niektórych VPN takie podatności dostępne są publicznie online więc atakujący może po prostu odnaleźć je w internecie. Co za tym idzie wykorzystanie tych publicznych plików może umożliwić cyberprzestępcom: 

  • kradzież poświadczeń
  • zdalne wprowadzenie kodu 
  • osłabienie i przechwytywanie szyfrowanych sesji
  • odczyt wrażliwych danych 

To z kolei prowadzi zwykle do dalszych problemów, a w skutkach kompromitacji na dużą skalę sieci korporacyjnej lub infrastruktury tożsamości i innych usług.

Uwagi dotyczące wyboru usługi VPN 

Wybierając dostawcę VPN, NSA rekomenduje wzięcie pod uwagę następujących zaleceń: 

  • Unikanie niestandardowych rozwiązań VPN, w tym klasy produktów określanych jako VPN Secure Sockets Layer/Transport Layer Security (SSL/TLS). Produkty te zawierają bowiem niestandardowe funkcje tunelowania ruchu przez TLS. Korzystanie z niestandardowych funkcji stwarza dodatkową ekspozycję na ryzyko, nawet jeśli parametry TLS używane przez produkty są bezpieczne. NSA i CISA zalecają ustandaryzowane sieci VPN Internet Key Exchange/Internet Protocol Security (IKE/IPsec), które zostały zweryfikowane pod kątem standardowych wymagań bezpieczeństwa dla sieci VPN.
  • NSA podkreśla istotność dokładnego zapoznania się z dokumentacją dostawcy i upewnienia, że potencjalne produkty obsługują sieci VPN IKE/IPsec. Dokumentacja niektórych produktów może nie zawierać wyczerpujących informacji na temat obsługiwanych przez nie protokołów podczas ustanawiania tuneli VPN. Warto więc unikać produktów, które nie określają jasno przestrzeganych standardów, lub twierdzą, że używają zastrzeżonych metod do ustanawiania sieci VPN.
  • Należy określić, czy produkt wykorzystuje protokoł SSL/TLS w zastrzeżonym lub niestandardowym protokole VPN, gdy nie można nawiązać połączenia VPN IKE/IPsec. Należy zrozumieć okoliczności, które mogłyby spowodować niepowodzenie negocjacji IKE/IPsec. Jeśli to możliwe, należy wyłączyć zastrzeżone lub niestandardowe rozwiązanie VPN SSL/TLS.
  • Należy upewnić się, że potencjalne produkty wykorzystują moduły kryptograficzne zatwierdzone przez FIPS i mogą być skonfigurowane do używania tylko zatwierdzonych algorytmów kryptograficznych.
  • Należy sprawdzić, czy produkt obsługuje silne uwierzytelnianie oraz domyślnie wyłącza słabe poświadczenia i protokoły. Warto zaplanować korzystanie z uwierzytelniania wieloskładnikowego i wybrać produkty obsługujące używane poświadczenia.
  • Należy wybrać dostawcę z udokumentowaną historią wspierania produktów poprzez regularne aktualizacje oprogramowania i szybkie usuwanie znanych luk w zabezpieczeniach. Należy upewnić się, że ramy czasowe wsparcia obejmują cały oczekiwany okres użytkowania produktu i wymienić produkt, zanim skończy się jego żywotność. 
  • Należy upewnić się, że dostawca nie używa w swoich produktach przestarzałych wersji oprogramowania typu open source. Może to spowodować sytuację w której wykorzystywane oprogramowanie  posiada znane luki w zabezpieczeniach. 
  • Należy upewnić się, że produkt ma solidną metodę sprawdzania integralności własnego kodu i regularnie przeprowadzana jest jego weryfikacja. Jako urządzenie zabezpieczające na obwodzie sieci, bramy VPN są popularnymi celami ataków. Bez możliwości sprawdzenia integralności urządzenia często niemożliwe jest wykrycie włamań. 
  • Należy zrozumieć ryzyka związane z brakiem możliwości sprawdzenia produktu we własnym zakresie. Niektórzy dostawcy VPN szyfrują urządzenia w sposób uniemożliwiający szybką reakcję na incydenty. Produkty, które nie pozwalają na pełną kontrolę urządzenia przez administratora, wprowadzają dodatkowe ryzyko i mogą spowodować, że producent będzie punktem blokującym rozwiązanie problemu. Opóźnienia w procesie reagowania na incydenty mogą dać cyberprzestępcom czas potrzebny na zatarcie śladów. 
  • Należy przejrzeć dodatkowe funkcje potencjalnego urządzenia pod kątem ryzyka. Chociaż wiele dodatkowych funkcji, takich jak zdalnie dostępne strony administracyjne lub dostęp online do usług wewnętrznych, może być użyteczny, takie funkcje niosą ze sobą ryzyko, ponieważ zwiększają powierzchnię ataku. Należy więc wybrać produkty, które skupiają się na ochronie podstawowych funkcji VPN i nie mają wielu dodatkowych funkcji, lub przynajmniej upewnić się, że dodatkowe funkcje można domyślnie wyłączyć.
Narodowa Agencja Bezpieczeństwa Stanów Zjednoczonych oficjalnie rekomenduje MFA do ochrony VPN
Narodowa Agencja Bezpieczeństwa Stanów Zjednoczonych oficjalnie rekomenduje MFA do ochrony VPN

Aktywne wzmacnianie VPN

Po wdrożeniu wybranego rozwiązania VPN, NSA sugeruje poniższe działania aby dodatkowo zabezpieczyć sieć VPN przed włamaniem. 

  • Powinno się wymagać zastosowania tylko silnych, zatwierdzonych protokołów kryptograficznych, algorytmów i danych uwierzytelniających
  • Należy aktywnie zmniejszać powierzchnię ataku na VPN
  • Należy chronić i monitorować dostęp do i z VPN
  • Koniecznym jest zabezpieczenie wejścia do sieci 

Zdalny dostęp VPN to dostęp do sieci korporacyjnych i wszystkich poufnych danych i usług, które organizacja posiada. Ten bezpośredni dostęp sprawia, że VPN jest atrakcyjnym celem ataków cyberprzestępców. NSA w swoich wskazaniach podkreśla więc na każdym kroku istotność wyboru bezpiecznych standardów i wzmacniania VPN silnym uwierzytelnianiem. Tylko tak zaimplementowana usługa VPN jest w stanie przeciwstawić się nowoczesnym atakom i zapewnić cyberbezpieczeństwo sieci w całej organizacji.

Całość raportu NSA i CISA znaleźć można tutaj. Jeśli spodobał Ci się ten artykuł odwiedź też ten, w którym odpowiadamy na pytanie dlaczego złe wykorzystanie VPN może być niebezpieczne opisując jednocześnie jeden z najciekawszych cyberataków ostatnich lat. 

Czytaj więcej

Referencje

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.