VPN NIEdobry na wszystko?
Nie wiem czy słyszeliście o głośnej kilka lat temu sprawie związanej z prowadzonym śledztwem na temat nieautoryzowanego kodu znalezionego w oprogramowaniu firmy Juniper. Działał on jak furtka do przeprowadzenia cyberataku na urządzenia, które pod nim pracowały. Z raportu wynikało, że najprawdopodobniej nieautoryzowana luka w oprogramowaniu została umieszczona tam celowo, została zaprojektowana również tak, aby była bardzo trudna do wykrycia. O nowych faktach w tej sprawie ostatnio poinformował na swoich łamach Bloomberg.
Czy VPN ma sens
Dlaczego o tym piszę i jak to się ma do silnego uwierzytelniania, którym na co dzień zajmujemy się w Secfense? Obserwujemy, że w wielu przypadkach, a szczególnie podczas powszechnej teraz pracy zdalnej, firmy próbując przystosować się do nowej rzeczywistości wykorzystują VPN-y do wpuszczania do swojej sieci pracowników z zewnątrz. To nienajlepsze rozwiązanie. I pomimo tego iż, VPN ma bardzo szerokie zastosowanie, i tylko jedną z jego ról jest wpuszczanie pracowników z zewnątrz do aplikacji, to w przypadku Juniper taka praktyka okazała się szkodliwa. Jeśli firma wystawiłaby aplikację na zewnątrz i zabezpieczyłaby ją silnym uwierzytelniania interfejsu logowania, powierzchnia ataku byłaby znacznie mniejsza.
Kiedy używać VPN?
Wniosek?
Po pierwsze, stosowanie VPN-a do wszystkiego, co możliwe jest nie tylko nieefektywne, ale również niebezpieczne. Po drugie, „rozciąganie” go na zabezpieczanie aplikacji webowych jest zupełnym zaprzeczeniem zasad projektowania efektywnego cyberbezpieczeństwa, które właśnie ze względu na różne podatności i backdoor-y, powinno budowane być warstwowo, czyli na tzw. cebulę i w sposób dywersyfikujący metody zabezpieczeń.
Odsyłam do koncepcji zero trust i zgłębienia tematu silnego i prostego w implementacji uwierzytelniania, które proponujemy właśnie w User Access Security Broker.
Antoni Sikora 