IT業界社群及資訊平台

【wepro投稿】你的 VPN 真的夠安全?

日前,一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞,以攻擊具有相關安全漏洞的系統。

以上新聞可能爲大家帶來啟示:儘管許多人認為 VPN 對於所有需要在家辦公的員工來說,是一種安全的解決方案,但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。

在沒有其他適當的安全層情況下,將 VPN 部署為唯一的安全控制層,會給許多公司帶來「很有安全感」的錯覺。而事實是,黑客透過 VPN 入侵的實例比比皆是,近期較熱門的事例便有三菱電機 VPN 攻擊Travelex 勒索軟件攻擊

上述已發布的 VPN 黑客事件和洩漏的 VPN 用戶名稱和密碼只是冰山一角,我們必須意識到 VPN 無法防護的事情其實有很多,同時應當採取相應的保護,配合以人力、流程及科技三管齊下的網絡保安方案減低風險,以下四個貼士分享給大家:

  1. VPN 解決方案無法防止帳戶被入侵;而 2FA/MFA 解決方案將大大降低這種風險
  2. VPN 不會採取任何措施來保護您的團隊免受網絡釣魚攻擊;而用戶意識培訓/測試和電子郵件威脅防護系統將大大降低這種風險
  3. VPN 無法解決內部數據洩漏的威脅;DLP 解決方案和端點設備控制(例如 USB 使用控制)將幫助公司管理這種風險
  4. VPN 無法解決設備硬件及軟件本身的任何漏洞和攻擊;EDR 和漏洞及軟件更新管理解決方案將大大降低這種風險。

(Article contributed by Harry Poon, Head of Cyber Risk & Security Practice, Business Markets, SmarTone)

如果你都有觀點、見解、評論想與大家分享,歡迎投稿:[email protected]