縮小供應鏈中的安全漏洞

2020-04-29 17:09:33 編輯：來源：

導讀企業(yè)很自然地信任他們的供應商，經(jīng)常發(fā)展長期的合作關系。然而，在過去的幾年里，供應鏈已經(jīng)成為網(wǎng)絡罪犯的主要目標，他們試圖利用這種關系經(jīng)常造成的軟肋。除了由不安全的供應鏈導致的任何數(shù)據(jù)泄漏或社會工程風險外，許多企業(yè)選擇在組織之間部署持久的虛擬專用網(wǎng)(VPN)連接，而沒有意識到所涉及的固有風險。如果實現(xiàn)得不好，持久的VPN連接可能會對安全保障良好的組織造成嚴重的安全風險。 vpn是在多個網(wǎng)絡之間以安

企業(yè)很自然地信任他們的供應商，經(jīng)常發(fā)展長期的合作關系。然而，在過去的幾年里，供應鏈已經(jīng)成為網(wǎng)絡罪犯的主要目標，他們試圖利用這種關系經(jīng)常造成的軟肋。除了由不安全的供應鏈導致的任何數(shù)據(jù)泄漏或社會工程風險外，許多企業(yè)選擇在組織之間部署持久的虛擬專用網(wǎng)(VPN)連接，而沒有意識到所涉及的固有風險。如果實現(xiàn)得不好，持久的VPN連接可能會對安全保障良好的組織造成嚴重的安全風險。

vpn是在多個網(wǎng)絡之間以安全的方式共享數(shù)據(jù)的一種有效方式，它加強了隧道中數(shù)據(jù)的保密性和完整性。然而，在許多情況下，vpn是針對正在傳輸?shù)臄?shù)據(jù)所采取的唯一數(shù)據(jù)安全措施。這就產(chǎn)生了一個重要的漏洞，攻擊者可以利用它。

這是因為vpn在不同的網(wǎng)絡之間創(chuàng)建了一個隧道，就像字面上的物理連接一樣。如果攻擊者可以破壞一端的主機，那么VPN就可以像一個不透明的管道一樣，連接到放置另一端的任何地方，即使這是在一個非常有效的安全體系結(jié)構(gòu)中。雖然客戶可能有強大的安全控制，但這可能不是供應商的情況，從而邀請攻擊者進入您的數(shù)字資產(chǎn)的軟肋。

vpn最近也成為了高級持續(xù)威脅(Advanced Persistent Threat，簡稱APT)行動者的攻擊目標，國家網(wǎng)絡安全中心(NCSC)已就如何檢測惡意活動向各組織發(fā)布了警告和建議，顯示出這種技術(shù)的脆弱性日益增強。簡單地說，VPN的安全性取決于它的配置和圍繞它的附加安全措施，以管理通過它的流量。

現(xiàn)在有大量面向企業(yè)的現(xiàn)代VPN技術(shù)——從特定于供應商的實現(xiàn)，從您的防火墻或網(wǎng)絡監(jiān)控供應商，到專用設備和強大的開源競爭者，如OpenVPN和Strongswan。然而，業(yè)界已經(jīng)看到了更多遺留VPN協(xié)議的案例——特別是沒有IPSEC加密的PPTP和L2TP——在這些協(xié)議中，歷史的實現(xiàn)決策已經(jīng)損害了現(xiàn)代世界的安全性。因此，最好選擇現(xiàn)代的、知名的協(xié)議和供應商技術(shù)。

為了在任何基于ip的VPN中實現(xiàn)最大程度的安全性，企業(yè)應該避免攻擊模式，并確保同時啟用AH和ESP。他們還應該考慮為安全關聯(lián)禁用ISAKAMP和IKEv1 (IKEv2目前還可以)。對于OpenVPN和其他基于TLS的選項，企業(yè)應該了解底層TLS/SSL密碼中可能存在的潛在致命弱點，并采取相應的行動。

為了獲得最大的安全性(但可能需要復雜的互操作性)，可以使用TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384這樣的密碼，AES-256-GCM是可靠的，可以考慮使用Curve25519作為DH交換，而不是更可靠的替代方案。如果你想要一些令人興奮的東西，試試查查20- poly1305 AEAD。

對今天的中小企業(yè)來說，“深入防御”是實現(xiàn)有意義的安全的唯一真正途徑。該方法結(jié)合了多層控件，這些控件相互支持，而攻擊者必須在應用程序、主機和網(wǎng)絡之間擊敗或繞過多層保護。

這種安全層的明智組合，包括主機加固、防火墻、網(wǎng)絡隔離以及對進出VPN的數(shù)據(jù)進行內(nèi)容檢查，將確保一個組織的IT基礎設施的所有元素不會同時遭到破壞。這不僅為偵查和響應提供了更多的時間，還降低了組織對路過的網(wǎng)絡罪犯的“低掛果”吸引力。此外，不要盲目信任來自供應商的VPN安全端點的流量，將VPN保留在DMZ中，并受其他入站公共連接的相同控制。

我不愿鼓吹GDPR，但保護組織數(shù)據(jù)變得更為重要。在攻擊期間成功利用的不適當部署的第三方VPN連接將與第32條所定義的“考慮當前技術(shù)水平”的方法相違背，這可能會將原本安全良好、投資密集型的安全策略的有效性降低到零。

由于新規(guī)范要求數(shù)據(jù)處理程序和控制器分擔責任，因此在共享任何數(shù)據(jù)或提供對其網(wǎng)絡的訪問之前，企業(yè)必須仔細考慮供應商的網(wǎng)絡和端點安全性。選擇一種深入防御的方法，包括在你的財產(chǎn)中有意地放置和管理vpn，可以幫助企業(yè)在面對網(wǎng)絡威脅、惡意軟件攻擊或入侵的后果時保持彈性和漂浮。

vpn是合法的、有用的安全工具，但是在使用時應該非常小心。采取“設計安全”的方法，并將vpn作為分層安全戰(zhàn)略的一部分，可以使組織更容易地與他們的供應商鏈進行接觸，在保持保護的同時利用業(yè)務利益。