Você está visualizando atualmente Usando VPNs Como Um Vetor de Acesso Inicial É Irônico, Dado Que Segurança É A Principal Razão Pela Qual Empresas Os Empregam No Primeiro Lugar

Usando VPNs Como Um Vetor de Acesso Inicial É Irônico, Dado Que Segurança É A Principal Razão Pela Qual Empresas Os Empregam No Primeiro Lugar

Nos últimos meses, pesquisadores observaram um aumento de invasores que utilizam redes privadas virtuais de acesso remoto (VPNs) como “golden ticket” para acesso inicial à rede. Segundo um post recente da Check Point, várias soluções de fornecedores de cibersegurança foram comprometidas, levando-os a investigar seus próprios equipamentos e se estão sendo alvo.

“Até o dia 24 de maio, encontramos três tentativas desse tipo,” relata Gil Messing, chefe de equipe da Check Point. “Após uma análise mais aprofundada de nossas equipes especiais, identificamos o que acreditamos ser um padrão potencialmente recorrente. Embora tenha havido apenas algumas tentativas globalmente, é o suficiente para reconhecer uma tendência e, o mais importante, uma causa simples para garantir que seja malsucedida.”

Ameaças às VPNs de Acesso Remoto

VPNs de acesso remoto são um pouco diferentes das VPNs comuns às quais a maioria das pessoas está acostumada. Enquanto as VPNs regulares roteiam o tráfego de Internet de um indivíduo através de servidores compartilhados para ocultar sua atividade na Internet, as VPNs de acesso remoto são usadas para fornecer a indivíduos específicos acesso seguro a redes específicas. Elas são úteis, por exemplo, em fornecer acesso a trabalhadores remotos aos recursos internos de seu empregador.

Elas também são úteis para propósitos maliciosos. Ao invés de ter que, por exemplo, explorar um servidor com face pública ou uma vulnerabilidade zero-day, um hacker poderia usar uma VPN de acesso remoto para ter acesso limpo e desimpedido ao ambiente de TI de uma organização. A partir daí, eles poderiam começar a estabelecer persistência, procurar por vulnerabilidades e muito mais. Mas como eles conseguem acesso a essa conexão VPN em primeiro lugar?
A maneira mais fácil é através de contas insuficientemente protegidas. Nos casos descobertos pela Check Point, os invasores tentaram aproveitar contas antigas de VPN que eram protegidas apenas por uma senha única, mas caso contrário estavam disponíveis.

Protegendo as VPNs de Acesso Remoto

Para proteger as contas de usuários, além de monitorá-las ou até mesmo desativá-las, a Check Point recomendou que as organizações exijam verificações de autenticação além de senhas simples.

Jason Soroko, vice-presidente sênior de produtos da Sectigo, ecoa o ponto. “A autenticação usuário e senha está abaixo do limite de segurança básica, especialmente quando formas muito mais fortes de autenticação estão disponíveis. Além de ser inseguro e ineficiente, as senhas estão se tornando cada vez mais inapropriadas para muitos casos de uso empresarial modernos.” Isso é especialmente verdade, ele acrescenta, quando os usuários acabam usando os nomes de usuário e senhas que vêm com o produto por padrão, facilitando a adivinhação.

Em vez disso, ele sugere: “Muitas das aplicações empresariais de hoje já suportam ativamente alternativas modernas às senhas, oferecendo autenticação baseada em certificado. É mais forte porque é baseado em um segredo impossível, ou quase impossível de adivinhar, que não é compartilhado. A experiência do usuário é superior porque uma vez que o usuário é provisionado, não há nada a fazer além de iniciar o processo de autenticação. O handshake de autenticação ocorre, e o servidor VPN pode então ter certeza de quem está autenticado. A autenticação por usuário e senha não oferece tal garantia.”

Outros vão mais além. “Isso é um lembrete forte para as organizações fazerem planos urgentes para migrar de VPNs legadas para soluções de Acesso à Rede de Confiança Zero (ZTNA),” diz Venky Raju, CTO de Campo da ColorTokens. Ele aponta para o último imbróglio da VPN da Ivanti como uma indicação de onde as VPNs naturalmente falham.

“Solucões ZTNA têm várias vantagens sobre as VPNs,” diz ele, “a principal das quais é que ZTNA limita inerentemente o que o usuário final pode acessar usando os princípios do mínimo privilégio. Além disso, as soluções ZTNA têm uma melhor integração com o sistema de gerenciamento de identidade da empresa, reduzindo o risco de senhas comprometidas ou configurações erradas.”

Além disso, ele acrescenta, “Organizações devem consultar a documentação do fornecedor e os avisos para remover recursos desnecessários ou não utilizados, implementar autenticação forte, auditar todas as contas padrão existentes e estabelecer um processo de correção.”