חסרונות ה-VPN שיגרמו לכם ליישר קו עם מודל ה-Zero Trust
תקופת הקורונה, והמעבר לעבודה מרחוק שהביאה איתה, יצרו גידול ניכר בשימוש ב-VPN ובפרוטוקולים נוספים של גישה מרחוק ● היקפי השימוש הנרחבים חשפו מחדש את חולשות האבטחה הקריטיות של ה-VPN
זה מספר עשורים ש-VPN משמש כפתרון הגישה מרחוק המועדף על ארגונים, למרות חסרונותיו הרבים. עם המעבר לעבודה מרחוק בימי הקורונה, חל גידול ניכר בשימוש ב-VPN ובפרוטוקולים נוספים של גישה מרחוק, כמו RDP. היקפי השימוש הנרחבים חשפו מחדש את חולשות האבטחה הקריטיות של ה-VPN.
VPN ו-RDP מתאימים לשימוש רק במקרים ספציפיים של גישה מרחוק, אבל ארגונים רבים משתמשים בהם כברירת מחדל ומקצים גישה לכל דורש, כמו לספקים צד שלישי או לעובדים שמשתמשים במכשיר האישי שלהם. כך גם לגבי RDP, המתאים לשימוש רק בגבולות הרשת הארגונית, אולם החברות מתעלמות ממגבלותיו אלה.
VPN מספק הכל או לא כלום, מבחינת גישה לרשת הארגונית, מה שמגדיל את הסיכון, במיוחד כאשר צוות ה-IT וספקים חיצוניים צריכים גישה פריבילגית, והסיכון גובר כאשר מדובר במכשיר האישי של המשתמש
כל האקר מתחיל יודע שאם ישיג גישת VPN, יצליח לעקוף את כלי האבטחה ויקבל גישה מלאה לרשת הארגונית. מתוצאות מחקר המבוסס על בדיקות חדירה, שערכה חברת Positive Technologies בדצמבר 2022, עולה כי 61% מהארגונים שהשתתפו במחקר גילו שהתוקפים השתמשו בגישת RDP כדי לחדור לרשת הארגונית ו-57% מהארגונים דיווחו גם על פרוטוקול הגישה SSH כמקור חדירה.
חסרונות ה-VPN
יש אנשים שסבורים בטעות כי VPN הוא כלי אבטחה, אולם VPN פותח במטרה להגן על המידע שנמצא במעבר בין רשת חיצונית לרשת הארגונית.
VPN מספק הכל או לא כלום, מבחינת גישה לרשת הארגונית, מה שמגדיל את הסיכון, במיוחד כאשר צוות ה-IT וספקים חיצוניים צריכים גישה פריבילגית, והסיכון גובר כאשר מדובר במכשיר האישי של המשתמש. סכנות נוספות הטמונות בשימוש במכשירים פרטיים נובעות ממתן זכויות מנהל מקומי, מ-אי עמידה במדיניות הארגונית, משימוש בתוכנה פגת תוקף, ומשיתוף המכשיר עם בני המשפחה.
ל-VPN אין יכולות ניטור והקלטה, דבר המקשה על תחקור אירועים, במיוחד כאשר מדובר בגישה פריבילגית. בנוסף, מערכות VPN לא מעודכנות עלולות לפתוח גישה אחורית לאיומי אבטחה. ארגונים רבים אף מתעלמים מעדכוני גרסה של היצרן, מתוך חשש שהדבר יפגע בביצועים. ואם לא די בכך, אז ל-VPN קיימת מגבלה של מספר משתמשים, כך שמעל מכסה מסוימת הוא מונע ממשתמשים חדשים להיכנס ואפילו פוגע בביצועים של המשתמשים הקיימים.
מתיישרים עם עקרונות ה-Zero Trust
בשנים האחרונות, הרעיון של Zero Trust זכה למומנטום משמעותי. ריבוי סביבות מבוזרות, גידול בשימוש בענן וטרנספורמציה דיגיטלית עודדו את צוותי ה-IT למצוא דרכים בהן יוכלו להטמיע אמצעי ניטור ובקרה מבוססי Zero Trust, לשיפור האבטחה.
Zero Trust, או בעברית מודל 'אמון אפס', זו צורת חשיבה וארכיטקטורת ביטחון למזעור הסיכון של מערכות הארגון, תוך התקדמות בסגמנטים קטנים, במטרה לנטר משאבי IT רגישים בארגון. לשם כך יש להטמיע טכנולוגיה לניטור וניהול הדאטה, המשתמשים, היישומים והנכסים במעבר בין הסגמנטים השונים, ולערוך בדיקות אימות.
מודל ה- Zero Trust דורש גישה מאובטחת ומאומתת לכל המשאבים ומכתיב שימוש במינימום גישות פריבילגיות. המודל יוצא מנקודת הנחה שכל גישה לרשת הארגונית היא בעלת פוטנציאל להיות זדונית – וזהו שינוי של 180 מעלות מגישת 'הכל או לא כלום' של VPN. בנוסף, פתרונות Zero Trust בטוחים, אמינים ובעלי ביצועים טובים יותר מאשר VPN למיניהם, ואף קלים יותר להטמעה ולתחזוקה.
ניהול גישה פריבילגי הוא מרכיב מפתח בגישת ה-Zero Trust. פתרונות PAM יכולים לעזור לארגונים להשיג את כל היתרונות, מאבטחת גישה מרחוק למשתמשים פריבילגים וספקים ועד להטמעת גישה של מינימום הרשאות בקרב משתמשים, אירועים ספציפיים, נכסים וכדומה, במטרה לנהל בצורה טובה את כל ההרשאות והמידע השמור. דרך מינוף של פתרונות PAM תוכלו להפחית סיכוני סייבר ולהבטיח שכל דרכי הגישה לרשת מאובטחות, מנוהלות ומתועדות.
שמונה טיפים לשיפור האבטחה סביב גישה מרחוק באמצעות Zero Trust
לשיפור האבטחה סביב גישה מרחוק, באמצעות Zero Trust, נחוץ שילוב מתאים בין מדיניות, נהלי עבודה וטכנולוגיות. כך יש לעשות זאת:
- בטלו את הפרוטוקולים לגישה מרחוק (RDP, SSH, VNC וכדומה) כברירת מחדל בכל המחשבים בארגון.
- הטמיעו פתרונות גישה מרחוק שאינם דורשים הפנייה פנימה לרשת הארגונית. פתרונות אלה לרוב מפנים תעבורה מבחוץ דרך הפורט 443 ויכולים להחליף VPN.
- הוסיפו אישורי ניהול כדי להתחיל את פעולת הגישה מרחוק.
- הטמיעו גישה של מיעוט הרשאות פריבילגיות ונטרו, נהלו ופקחו באופן מלא על כל מקרה של גישה מרחוק פריבילגית.
- תמכו במדיניות של יצירת גישה בדיוק בזמן (JIT), ודאגו שתוקפה יפוג תוך פרק זמן מסוים, או כאשר המשימה תסתיים.
- הטמיעו מיקרו-סגמנטציה ברמת היישומים, למנוע ממשתמשים להיחשף ליישומים ללא הרשאה.
- הקליטו בווידיאו את כל המקרים, נטרו את הלוגים ושלחו ל-SIEM הארגוני.
- הוציאו התרעות על הקלדת פקודות לא מותאמות והטמיעו מדיניות להפסקת האירוע.
הכותבים הם מנכ"ל פורטק ו-CTO פורטק, המפיצה הבלעדית של מוצרי BeyondTrust בישראל
כמה שטויות בעמוד אחד