زمانی که امنیت اصلی کارکنان از راه دور ضروری بود ، VPN ها طوری طراحی شدند که دسترسی کمی به داده ها و سیستم های شرکتی را برای درصد کمی از نیروی کار فراهم کنند در حالی که اکثر آنها در محدوده دفتر سنتی کار می کردند. حرکت به کار از راه دور انبوه که توسط COVID-19 در اوایل سال 2020 ایجاد شد ، اوضاع را به طرز چشمگیری تغییر داد. از آن زمان ، این امر عادی شده است که تعداد زیادی از کارمندان به طور منظم از خانه کار کنند ، و بسیاری فقط به صورت پراکنده به دفتر مراجعه می کنند (در صورت وجود). VPN ها برای کار دور و چشم انداز ترکیبی کافی نیستند ، و وابستگی بیش از حد به آنها تامین تعداد زیادی از کارکنان که در خانه کار می کنند خطرات قابل توجهی را به همراه دارد. جوزف کارسون ، دانشمند ارشد امنیتی و مشاور CISO در ThycoticCentrify ، به CSO می گوید: "VPN ها در ابتدا به شرکت ها در مدیریت چند کارمند یا پیمانکار شخص ثالث کمک می کردند که در هنگام کار از راه دور به دسترسی از راه دور به برخی از سیستم ها نیاز داشتند." وی اضافه می کند که این امر همچنین منجر به تأثیرات منفی بر بهره وری کارکنان و تجربه کاربری شده است که همه آنها بر اصطکاک افزوده می شود. متیو گریسی مکمین ، سرپرست تحقیقات تهدید Netacea ، می گوید: "با حمله همه گیر COVID-19 ، اکثر شرکت ها مجبور شدند به سرعت با محیط کار از راه دور سازگار شوند و برخی از آنها ناامن عمل کردند. Felipe Duarte ، محقق امنیتی Appgate می گوید که راه حل های عمومی VPN برای این که کارکنان خود بتوانند از خانه های خود به سیستم های یکسان دسترسی داشته باشند و به دستگاه های خود اعتماد کنند. با توجه به این که کار از راه دور و ترکیبی به عنوان یک هنجار در آینده قابل پیش بینی است ، بسیار مهم است که سازمان ها فقط کاستی ها و خطرات VPN ها را در دوران کار از راه دور تشخیص دهید ، اما همچنین درک کنید که چگونه گزینه های جایگزین می توانند آینده کار دورتر و ترکیبی را بهتر تضمین کنند. به گفته شان رایت ، سرپرست امنیت برنامه در Immersive Labs ، از آنجا که VPN ها معمولاً شبکه یک سازمان را گسترش می دهند ، اگر شبکه ای که کاربر در آن قرار دارد ناامن باشد ، احتمال بیشتری برای مهاجم وجود دارد که از آن استفاده کند. او می افزاید: "شبکه های خانگی آسیب پذیری های امنیتی بیشتری دارند و این خطر را بیشتر می کند." Wave Money ، CISO در Dominic Grunden به نقص دیگری اشاره می کند: این واقعیت که VPN ها فقط برای عبور و مرور بین دو نقطه رمزگذاری می کنند و نیاز به یک پشته امنیتی مستقل دارد که باید در یک سر هر اتصال VPN برای بازرسی ترافیک مستقر شود. "این یک الزام است که وقتی منابع سازمانی به طور فزاینده ای در ابر میزبانی می شوند و توسط کارگران دور دست به آنها دسترسی پیدا می کند ، برآورده شدن آن دشوار می شود. VPN ها همچنین راهی برای تأمین دسترسی شخص ثالث ارائه نمی دهند ، که شاید ضعیف ترین پیوند حمله باشد. ) اگر رایانه یکی از کارکنان هنگام کار در خانه به خطر بیفتد ، این می تواند منجر به دسترسی یک بازیگر مخرب به شبکه یک شرکت از طریق VPN با استفاده از اعتبار کارکنان شود ، که به آنها دسترسی کامل و مطمئن می دهد – فعالیتهایی که کمتر احتمال دارد توسط آنها تشخیص داده شود. یک تیم امنیتی به دلیل نداشتن یک لایه کامل پشته امنیتی هنگام کار در خانه. " Duarte می گوید ، این در حمله اخیر باج افزار Colonial Pipeline مشاهده شد. در آن صورت ، مهاجمان فقط با استفاده از اعتبار نام کاربری و رمز عبور برای یک دستگاه VPN ناامن به شبکه داخلی دسترسی پیدا کردند. " او همچنین مواردی از مهاجمان را مورد هدف قرار داده و از آسیب پذیری های شناخته شده دستگاه VPN استفاده می کند. "اخیراً ، ما بهره برداری از CVE-2021-20016 (تحت تأثیر SonicWall SSLVPN) توسط گروه جرایم سایبری DarkSide ، و همچنین CVE-2021-22893 (تأثیرگذار بر Pulse Secure VPN) توسط بیش از 12 نوع بدافزار مختلف مورد سوء استفاده قرار گرفته است." مشکل دستگاههای آلوده به بدافزار و وصله نشده است. دوارته می گوید: "این سناریو عموماً مربوط به بدافزارهای انسانی است ، مانند بات نت ها ، درهای پشتی و RAT [remote access Trojans]." "مهاجم یک اتصال از راه دور با دستگاه ایجاد می کند و پس از اتصال VPN ، بدافزار می تواند با جعل هویت کاربر ، به تمام سیستم هایی که به آن دسترسی دارد دسترسی پیدا کرده و از طریق شبکه داخلی گسترش یابد." رایت موافقت می کند و می افزاید: دستگاه ها فقط در حال کار هستند در صورت بروزرسانی فعال ، از امنیت کافی برخوردار باشند. "شما می توانید امن ترین اتصال VPN جهان را داشته باشید ، اما اگر دستگاه به اندازه کافی وصله نشده باشد ، خطری برای سازمان شما محسوب می شود و اتصال VPN تفاوت چندانی ایجاد نمی کند." VPN ها همچنین از نظر قابلیت استفاده و بهره وری اشکالات قابل توجهی دارند گروندن می گوید. "یک شکایت رایج در مورد VPN ها این است که چگونه سرعت شبکه را کاهش می دهند زیرا VPN درخواست ها را از طریق سرور دیگری تغییر مسیر می دهد ، بنابراین اجتناب ناپذیر است که سرعت اتصال به دلیل افزایش تأخیر شبکه ثابت نماند." علاوه بر این ، گاهی اوقات مسائل مربوط به عملکرد مربوط به استفاده از سوئیچ های kill و DHCP بوجود می آید. او می افزاید: "امنیت ارائه شده توسط VPN ها ، در عین ضرورت ، اغلب با پیچیدگی های بی مورد همراه است ، به ویژه برای سازمان هایی که از VPN های سازمانی استفاده می کنند." جایگزین های امن برای VPN ها برای کار از راه دور اعم از جایگزینی کلی VPN ها یا تکمیل آنها با گزینه های دیگر ، سازمان ها باید روش های امنیتی جایگزین را بهتر بشناسند و برای حفاظت از کار از راه دور مناسب تر عمل کنند. اینکه کدام یک و چند مورد از این استراتژی ها را ممکن است یک کسب و کار بررسی کند بسته به عوامل مختلفی مانند وضعیت بدنی و ریسک پذیری متفاوت است. با این حال ، کارشناسان امنیتی موافقند که موارد زیر به احتمال زیاد برای شرکت ها م universثرتر است. دسترسی به شبکه صفر اعتماد (ZTNA) در اصل با واسطه دسترسی به برنامه ها و داده های موجود در شبکه است. کاربران و دستگاهها قبل از اعطای دسترسی به چالش کشیده و تأیید می شوند. Duarte می گوید: "آنچه شما باید انجام دهید این است که یک ذهنیت اعتماد صفر داشته باشید ، همیشه با این فرض که ممکن است یک دستگاه یا حساب کارمند به خطر بیفتد." اعطای دسترسی به سیستم ها و شبکه های خاص ، اما با یک لایه امنیتی اضافی در قالب دسترسی با حداقل امتیاز (به برنامه های خاص) ، احراز هویت ، تأیید اشتغال و ذخیره اعتبار. " در نتیجه ، اگر یک مهاجم موفق به آلوده کردن یک سیستم شود ، آسیب فقط به آنچه این سیستم به آن دسترسی دارد محدود می شود. او همچنین می افزاید: "مطمئن شوید که برای تشخیص رفتارهای مشکوک ، مانند دستگاه آلوده که اسکن پورت را انجام می دهد ، از راه حل های نظارت بر شبکه استفاده کنید تا بتوانید به طور خودکار هشدار ایجاد کرده و سیستم آلوده را خاموش کنید." به گفته Gracey-McMinn ، با استفاده از یک مدل ZTNA ، هر کاربر و دستگاه قبل از دسترسی مجاز ، نه تنها در سطح شبکه بلکه در سطح برنامه نیز تأیید و بررسی می شود. با این حال ، اعتماد صفر تنها بخشی از رفع مشکل است و نمی تواند تمام ترافیک را از نقطه پایانی به نقطه دیگر نظارت کند. "SASE [secure access service edge] این مسئله را حل می کند. به عنوان یک مدل مبتنی بر ابر ، SASE شبکه و عملکردهای امنیتی را با هم به عنوان یک سرویس معماری واحد ترکیب می کند ، که به شرکت اجازه می دهد شبکه خود را در یک نقطه واحد از یک صفحه متحد کند. "Grunden می گوید که SASE یک راه حل مدرن است که برای برآورده کردن عملکرد و نیازهای امنیتی سازمان های امروزی ، ارائه مدیریت و عملکرد ساده ، هزینه های کمتر ، و افزایش دید و امنیت با لایه های اضافی عملکرد شبکه و معماری امنیتی زیربنایی ابر. وی می گوید: "در نهایت ، SASE به تیم های فناوری اطلاعات و همچنین به کل نیروی کار یک شرکت انعطاف می دهد تا در شرایط عادی جدید این کار در هر کجا و در سراسر جهان در سراسر جهان به طور ایمن عمل کنند." Duarte می گوید: اغلب با استراتژی های اطمینان صفرتر گسترده تر ، محیط تعریف شده نرم افزاری (SDP) یک شبکه مبتنی بر نرم افزار به جای سخت افزار است و جایگزین موثری برای راه حل های VPN کلاسیک است. "این به شما این امکان را می دهد که نه تنها از احراز هویت چند عاملی استفاده کنید و شبکه خود را تقسیم بندی کنید ، بلکه می توانید کاربر و دستگاه متصل شده را نمایه کرده و قوانینی را ایجاد کنید تا با توجه به سناریوهای مختلف تنها به آنچه واقعاً نیاز دارد دسترسی پیدا کنید." هنگامی که یک رفتار مشکوک در شبکه شما تشخیص داده می شود ، به طور کامل تهدیدهای احتمالی را منزوی کرده ، آسیب های ناشی از حمله را به حداقل برسانید و در صورت مثبت بودن کاذب ، به جای غیرفعال کردن کامل دستگاه و ایجاد کاربر ، دسترسی به منابع را مسدود کنید. دوارت اضافه می کند که نمی تواند کار معناداری انجام دهد. شبکه های وسیع منطقه ای تعریف شده توسط نرم افزار VPN ها برای توزیع عملکرد کنترل در شبکه به یک مدل مسیریاب محور وابسته هستند ، جایی که روترها ترافیک را بر اساس آدرس های IP و لیست های کنترل دسترسی (ACL) هدایت می کنند. با این حال ، شبکه های وسیع (SD-WAN) تعریف شده توسط نرم افزار و عملکرد کنترل متمرکز است که می تواند با مدیریت ترافیک بر اساس اولویت ، امنیت و کیفیت خدمات مورد نیاز ، ترافیک را به روشی هوشمندتر هدایت کند. Grunden می گوید: "محصولات SD-WAN برای جایگزینی روترهای فیزیکی سنتی با نرم افزاری مجازی طراحی شده اند که می تواند سیاست های سطح برنامه را کنترل کرده و پوشش شبکه را ارائه دهد. علاوه بر این ، SD-WAN می تواند پیکربندی مداوم روترهای WAN edge را خودکار کرده و ترافیک را بر روی ترکیبی از پهنای باند عمومی و پیوندهای MPLS خصوصی اجرا کند. " این یک شبکه سطح بالا با هزینه کمتر ، پیچیدگی کمتر ، انعطاف پذیری بیشتر و امنیت بهتر ایجاد می کند. راه حل هایی که شامل یک فرایند تأیید جامع برای تأیید اعتبار تلاش های ورود به سیستم می شود ، در مقایسه با VPN های سنتی ، که معمولاً فقط به رمز عبور نیاز دارند ، محافظت بیشتری را ارائه می دهند. گروندن می گوید: "ویژگی امنیتی IAM [identity and access management] این است که فعالیت جلسه و امتیاز دسترسی به کاربر جداگانه متصل است ، بنابراین مدیران شبکه می توانند مطمئن شوند که هر کاربر دسترسی مجاز داشته و می تواند هر جلسه شبکه را ردیابی کند." "راه حل های IAM همچنین اغلب سطوح بیشتری از دسترسی را ارائه می دهند تا کاربران فقط بتوانند به منابعی که مجاز به استفاده از آنها هستند دسترسی داشته باشند." در حالی که این گزینه جایگزین یا زوج VPN پروتکل های هویت را مدیریت می کند و امکان نظارت بیشتر بر فعالیت ها را فراهم می کند ، اما محافظت اضافی برای افراد ممتاز ارائه نمی دهد. اعتبارنامه Grunden می افزاید: برای مدیریت ایمن اعتبارنامه های حسابهای ممتاز ، مدیریت دسترسی ممتاز (PAM) مورد نیاز است. "اگر مدیریت هویت هویت تک تک کاربران را تأیید کرده و به آنها اجازه می دهد ، ابزارهای PAM بر مدیریت اعتبارنامه های ممتاز تمرکز می کنند که به سیستم ها و برنامه های مهم با مراقبت و نظارت بیشتر دسترسی دارند." این گونه حساب های سطح بالا باید به دقت مدیریت و نظارت شوند. آنها بیشترین خطر را برای امنیت به همراه دارند و به دلیل قابلیت های اداری که به آنها اجازه می دهد ، اهداف سنگینی برای بازیگران بد هستند. گروندن می گوید: "مزایای کلیدی یک راه حل PAM شامل امنیت اعتبار پیشرفته مانند چرخش مکرر رمزهای عبور پیچیده ، مبهم شدن گذرواژه ها ، سیستم ها و کنترل دسترسی به داده ها و نظارت بر فعالیت کاربران است." "این ویژگی ها تهدید استفاده از مجوزهای غیر مجاز مجاز را کاهش می دهد و تشخیص عملکرد مشکوک یا خطرناک را برای مدیران IT آسان می کند." اندرو هیوت می گوید ، دسترسی مشروط از طریق ابزارهای مدیریت نقطه پایانی (UEM) می تواند یک تجربه بدون VPN را از طریق قابلیت های دسترسی مشروط ارائه دهد ، به این ترتیب که یک عامل در حال اجرا بر روی دستگاه قبل از اینکه بتواند شخص را به یک منبع خاص دسترسی دهد ، شرایط مختلف را ارزیابی می کند. تحلیلگر ارشد فارستر "به عنوان مثال ، راه حل ممکن است انطباق دستگاه ، اطلاعات هویت و رفتار کاربر را ارزیابی کند تا مشخص شود آیا آن شخص می تواند به داده های سازمانی دسترسی داشته باشد یا خیر. اغلب ، ارائه دهندگان UEM برای ارائه حفاظت بیشتر با ارائه دهندگان ZTNA ادغام می شوند. زیرساخت رومیزی مجازی یا دسکتاپ به عنوان سرویس زیرساخت رومیزی مجازی (VDI) یا راه حل های دسکتاپ به عنوان یک سرویس "اساساً محاسبه را از طریق ابر (یا از سرور روی پریم) جریان می دهد به طوری که هیچ چیز به صورت محلی روی دستگاه قرار نمی گیرد ، هویت توضیح می دهد. گاهی اوقات سازمان ها از این گزینه به عنوان جایگزینی برای VPN استفاده می کنند ، اما هنوز باید در سطح دستگاه به همراه احراز هویت کاربر برای اطمینان از دسترسی ، بررسی هایی انجام شود. "مزیت این امر این است که هیچ داده ای نمی تواند برخلاف VPN سنتی ، از جلسه مجازی روی یک مشتری محلی کپی شده است. "
حق چاپ © 2021 IDG Communications، Inc.