فهرست بستن

7 جایگزین VPN برای ایمن کردن دسترسی به شبکه از راه دور

7 جایگزین VPN برای ایمن کردن دسترسی به شبکه از راه دور

اعتبار: عکس توسط Jason Strull در Unsplash

زمانی که برای تامین امنیت کارکنان از راه دور کار می‌کردند، VPN‌ها برای ارائه دسترسی ایمن به داده‌ها و سیستم‌های شرکت برای درصد کمی از نیروی کار طراحی شدند، در حالی که اکثریت در محدوده‌های اداری سنتی کار می‌کردند. . حرکت به سمت کار از راه دور انبوه که توسط COVID-19 در اوایل سال 2020 انجام شد، اوضاع را به طرز چشمگیری تغییر داد. از آن زمان، برای تعداد زیادی از کارمندان عادی شده است که به طور منظم از خانه کار کنند، و بسیاری از آنها فقط به صورت پراکنده (اگر اصلاً) به دفتر مراجعه می کنند. آنها برای ایمن سازی تعداد زیادی از کارمندان که از خانه کار می کنند، خطرات قابل توجهی را به همراه دارد.

جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در ThycoticCentrify، می‌گوید: «وی‌پی‌ان‌ها در ابتدا به شرکت‌ها کمک می‌کردند تا چند کارمند یا پیمانکاران شخص ثالث را که در حین کار از راه دور به دسترسی از راه دور به سیستم‌های خاصی نیاز داشتند، مدیریت کنند». او می افزاید که این امر همچنین منجر به تأثیرات منفی بر بهره وری کارمندان و تجربه کاربر شده است که همگی باعث افزایش اصطکاک می شوند. «استفاده از VPN در چنین مقیاسی هرگز قابل پیش بینی نبود و با گسترش آن یک کابوس امنیتی برای تیم های فناوری اطلاعات ایجاد کرده است. متیو گریسی-مک‌مین، رئیس تحقیقات تهدید نتاسیا، می‌گوید: «با همه‌گیری کووید-19، اکثر شرکت‌ها مجبور شدند به سرعت خود را با یک محیط کار کاملاً از راه دور تطبیق دهند، و برخی از آن‌ها به‌طور ناامن، فقط به کار افتادند. فیلیپ دوارت، محقق امنیتی Appgate، می‌گوید: «راه‌حل‌های عمومی VPN برای کارمندان خود برای دسترسی به سیستم‌های مشابه از خانه‌هایشان و اعتماد کورکورانه به دستگاه‌هایشان». فقط کاستی ها و خطرات VPN ها را در دوران کار از راه دور تشخیص می دهد، اما همچنین درک می کند که چگونه گزینه های جایگزین می توانند آینده کار از راه دور و ترکیبی را بهتر ایمن کنند. از VPN ها برای کار از راه دور چون VPN ها معمولاً شبکه یک سازمان را گسترش می دهند، اگر شبکه ای که کاربر در آن است ناامن باشد، پتانسیل بیشتری برای مهاجم وجود دارد که از آن استفاده کند، شان رایت، مدیر امنیتی برنامه در آزمایشگاه های Immersive می گوید. او می افزاید: «شبکه های خانگی آسیب پذیری های امنیتی بیشتری دارند و این خطر را تشدید می کند.» Wave Money، CISO در Dominic Grunden به یک نقص دیگر اشاره می کند: این واقعیت که VPN ها فقط برای ترافیک عبوری بین دو نقطه رمزگذاری می کنند و نیاز به یک پشته امنیتی کامل مستقل دارد. باید در یک انتهای هر اتصال VPN برای بازرسی ترافیک مستقر شود. زمانی که منابع سازمانی به طور فزاینده ای در فضای ابری میزبانی می شوند و توسط کارکنان راه دور به آنها دسترسی پیدا می کنند، برآورده کردن آن به طور فزاینده ای دشوار می شود. VPN ها همچنین راهی برای ایمن کردن دسترسی شخص ثالث فراهم نمی کنند، که شاید ضعیف ترین پیوند حمله باشد.» گریسی-مک مین می گوید که اکثر VPN ها حداقل امنیت را با رمزگذاری ترافیک ارائه می کنند و اغلب استفاده از احراز هویت چند عاملی (MFA) را اعمال نمی کنند. ). «اگر رایانه یکی از کارکنان هنگام کار در خانه به خطر بیفتد، این می‌تواند منجر به دسترسی یک عامل مخرب به شبکه شرکت از طریق VPN با استفاده از اعتبار کارکنان شود، که به آنها دسترسی کامل قابل اعتماد می‌دهد — فعالیت کمتر شناسایی می‌شود. توسط یک تیم امنیتی به دلیل نداشتن لایه پشته امنیتی کامل در حین کار از خانه. به گفته دوارت، این در حمله اخیر باج افزار خط لوله استعماری مشاهده شد. "در آن صورت، مهاجمان فقط با استفاده از نام کاربری و اعتبار رمز عبور به خطر افتاده برای یک دستگاه VPN ناامن، به شبکه داخلی دسترسی پیدا کردند." او همچنین به مواردی اشاره می کند که مهاجمان آسیب پذیری های دستگاه VPN شناخته شده را هدف قرار داده و از آنها سوء استفاده می کنند. اخیراً، ما شاهد بهره‌برداری از CVE-2021-20016 (بر SonicWall SSLVPN) توسط گروه جرایم سایبری DarkSide و همچنین CVE-2021-22893 (که بر Pulse Secure VPN تأثیر می‌گذارد) توسط بیش از 12 بدافزار مختلف مورد سوء استفاده قرار گرفته‌ایم.» مشکل مربوط به دستگاه های آلوده به بدافزار و وصله نشده است. Duarte می‌گوید: «این سناریو عموماً مربوط به بدافزارهای انسانی است، مانند بات‌نت‌ها، درهای پشتی و RAT [remote access Trojans]». "مهاجم یک اتصال از راه دور با دستگاه ایجاد می کند، و پس از اتصال VPN، بدافزار می تواند هویت کاربر را جعل کند و به تمام سیستم هایی که به آنها دسترسی دارد دسترسی داشته باشد و از طریق شبکه داخلی پخش شود." رایت موافق است و اضافه می کند که دستگاه ها فقط در حال کار هستند اگر به طور فعال به روز شوند، به اندازه کافی ایمن باشند. "شما می توانید ایمن ترین اتصال VPN جهان را داشته باشید، اما اگر دستگاه به اندازه کافی وصله نشده باشد، خطری برای سازمان شما خواهد بود، و اتصال VPN تفاوت کمی ایجاد خواهد کرد." گروندن می گوید. "یک شکایت رایج در مورد VPN ها این است که چگونه سرعت شبکه را کاهش می دهند زیرا VPN ها درخواست ها را از طریق سرور دیگری تغییر مسیر می دهند و بنابراین اجتناب ناپذیر است که سرعت اتصال به دلیل افزایش تاخیر شبکه ثابت بماند." علاوه بر این، برخی اوقات مشکلات عملکرد دیگری در رابطه با استفاده از سوئیچ های kill و DHCP ایجاد می شود. او می افزاید: «امنیت ارائه شده توسط VPN ها، در عین اینکه ضروری است، اغلب با پیچیدگی های بی مورد همراه است، به ویژه برای سازمان هایی که از VPN های سازمانی استفاده می کنند. روش های امنیتی جایگزین را برای محافظت از کار از راه دور انبوه مناسب تر اجرا کنید. اینکه یک کسب‌وکار ممکن است کدام و چند تا از این استراتژی‌ها را بررسی کند، بسته به عوامل مختلفی مانند وضعیت بدنی و ریسک‌پذیری متفاوت است. با این حال، کارشناسان امنیتی توافق دارند که موارد زیر به احتمال زیاد برای شرکت‌ها بیشترین تأثیر را دارند. دسترسی به شبکه بدون اعتماد دسترسی به شبکه صفر اعتماد (ZTNA) اساساً دسترسی واسطه ای به برنامه ها و داده های موجود در شبکه است. کاربران و دستگاه‌ها قبل از اعطای دسترسی به چالش کشیده و تأیید می‌شوند. Duarte.Grunden توضیح می‌دهد: «کاری که باید انجام دهید این است که یک طرز فکر اعتماد صفر را اتخاذ کنید، همیشه با فرض اینکه یک دستگاه یا حساب کارمند ممکن است به خطر بیفتد. اعطای دسترسی به سیستم‌ها و شبکه‌های خاص، اما با یک لایه امنیتی افزوده به شکل دسترسی با حداقل امتیاز (تا برنامه‌های خاص)، احراز هویت، تأیید استخدام، و ذخیره‌سازی اعتبار.» در نتیجه، اگر مهاجم موفق شود. دوارته می‌گوید در آلوده کردن یک سیستم، آسیب فقط به چیزی که این سیستم به آن دسترسی دارد محدود می‌شود. او می افزاید: "همچنین، مطمئن شوید که راه حل های نظارت بر شبکه را برای تشخیص رفتار مشکوک اجرا کنید، مانند دستگاه آلوده ای که در حال اسکن پورت است، بنابراین می توانید به طور خودکار یک هشدار ایجاد کنید و سیستم آلوده را خاموش کنید." لبه سرویس دسترسی ایمن (SASE) با مدل ZTNA، طبق گفته Gracey-McMinn، هر کاربر و دستگاه قبل از دسترسی مجاز، نه تنها در سطح شبکه بلکه در سطح برنامه، تأیید و بررسی می شود. با این حال، اعتماد صفر تنها بخشی از رفع مشکل است و نمی تواند تمام ترافیک را از یک نقطه پایانی به نقطه دیگر نظارت کند. SASE [secure access service edge] این مشکل را حل می کند. به عنوان یک مدل مبتنی بر ابر، SASE شبکه و عملکردهای امنیتی را با هم به عنوان یک سرویس معماری واحد ترکیب می کند، که به یک شرکت اجازه می دهد شبکه خود را در یک نقطه واحد از یک صفحه یکپارچه کند. عملکرد و نیازهای امنیتی سازمان‌های امروزی، ارائه مدیریت و عملیات ساده، هزینه‌های کمتر و افزایش دید و امنیت با لایه‌های اضافی عملکرد شبکه و همچنین معماری امنیتی مبتنی بر ابر. او می‌گوید: «در نهایت، SASE به تیم‌های فناوری اطلاعات و همچنین کل نیروی کار یک شرکت انعطاف‌پذیری می‌دهد تا در شرایط عادی جدید این کار در هر کجا، سایبری در همه جای جهان COVID-19، ایمن عمل کنند.» Duarte می‌گوید: محیط تعریف‌شده توسط نرم‌افزار که اغلب در استراتژی‌های بدون اعتماد گسترده‌تر پیاده‌سازی می‌شود، یک محیط تعریف‌شده توسط نرم‌افزار (SDP) یک مرز شبکه مبتنی بر نرم‌افزار به جای سخت‌افزار است و جایگزینی مؤثر برای راه‌حل‌های کلاسیک VPN است. "این به شما امکان می دهد نه تنها از احراز هویت چند عاملی استفاده کنید و شبکه خود را بخش بندی کنید، بلکه می توانید مشخصات کاربر و دستگاه در حال اتصال را ایجاد کنید و قوانینی را ایجاد کنید تا فقط به آنچه واقعاً نیاز دارد طبق سناریوهای مختلف دسترسی داشته باشید." در ادامه بیشتر بخوانید. صفحه…

صفحه

به خبرنامه بپیوندید!

خطا: لطفا آدرس ایمیل خود را بررسی کنید.

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n;
n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(پنجره،
سند، «اسکریپت»، «https://connect.facebook.net/en_US/fbevents.js»؛

fbq('init', '1724434721147660');
fbq ('track', "PageView");
window.fbAsyncInit = function() {
FB.init({appId: '105374282841262'، وضعیت: درست، کوکی: درست،
xfbml: true});
};
(عملکرد() {
var e = document.createElement('script'); e.async = true;
e.src = document.location.protocol + '//connect.facebook.net/en_US/all.js';
document.getElementById('fb-root').appendChild(e);
}())؛