חמש שאלות שארגונים צריכים לשאול לגבי חיבורי ה-VPN שלהם
עסקים רבים משתמשים ב-VPN כדי לספק לעובדים גישה מרחוק במהלך משבר נגיף הקורונה. שירותי VPN מספקים גישה כוללת למערכות החברה, ליישומים ולדאטה, אבל הם גם חלום בלהות עבור צוותי אבטחה בכל מה שקשור לצמצום סיכונים. מהן השאלות שאנשי האבטחה צריכים לשאול את עצמם לגבי אבטחת חיבורי VPN?
ישראל דיפנס
| 25/03/2020
צילום אילוסטרציה: Bigstock
מאת: ניר צ'קו/מעבדות סייברארק
1. כמה זמן עבר מאז הפעם האחרונה שבה שדרגנו את תוכנת ה-VPN?
שירותי VPN הפכו לאחרונה לווקטור תקיפה פופולרי. לא רק נגיף הקורונה מחזק את מגמת העבודה מהבית. לעתים מדובר בבחירה של סגנון חיים שהפכה שכיחה למדי ומספקת גמישות לעובדים, אך בה בעת יוצרת מטרה חדשה לתוקפים. ב-2019 לבד חוקרים חשפו שורה של חולשות חדשות ב-VPNs, לרבות CVE-2019-14899, המאפשרת לתוקפים לחטוף "sessions" ב-VPN, ואת מתקפת Fox Kitten האיראנית.
ביטחון בכל מקום: בואו לעקוב אחרינו באינסטגרם, בפייסבוק ובטוויטר
חשיפות אלה, המתווספות לחולשות ידועות נוספות, רק מדגישות את העובדה שהפכה חשובה מתמיד: מכיוון שארגונים רבים מסתמכים כיום כמעט באופן מלא על שירותי VPN, צריך לוודא שהתוכנות איתן מתחברים לשירותים אלה מעודכנות ומוגדרות בצורה הדוקה.
2. עד כמה העובדים שלנו מודעים לתחבולות?
ידוע שתוקפים מנצלים מצבי משבר, כמו מגפת נגיף הקורונה העולמית, כדי לתקוף את מטרותיהם באמצעות הנדסה חברתית. גישה זאת מתבססת על ההנחה שהגורם האנושי, יותר מכל מערכות טכנולוגית, הוא לעתים קרובות החוליה החלשה ביותר בשרשרת האבטחה.
בתקופה שבה נגיף הקורונה משתלט על התודעה שלנו, קל לתוקפים לנצל את החששות האנושיים ולהזין אותנו במידע זדוני, כשהוא מוסווה בעצות לגיטימיות-כביכול לגבי בריאות ותחושת רווחה כללית. בדרך זאת, הם יוצרים מתקפות "פישינג" מסיביות. הודעות על חיסונים והודעות דחופות על עדכונים של נהלי החברה בעקבות נגיף הקורונה, למשל, עלולות לגרום לעובדים, גם כאלה שמודעים לסיכון של מתקפות פישינג, ליפול במלכודת.
לכן חיוני להגביר את המודעות ולוודא שהעובדים מדווחים באופן מיידי על ניסיונות פישינג לצוות הרלוונטי בחברה.
3. לאן מוגדר שהמחשב שלך יתחבר עבור קישור ה-VPN?
תוכנת ה-VPN המותקנת על המחשב כדי להתחבר לרשתות וירטואליות פרטיות, מגיעה בדרך כלל מותקנת מראש עם הגדרות שצוות ה-IT בחברה הגדיר. את כתובת שרת ה-VPN ניתן להגדיר הן באמצעות כתובת IP והן באמצעות שם השרת באינטרנט.
שמו של שרת ה-VPN הוא בדרך כלל השם של רשומת DNS (פרוטוקול המאפשר תרגום דומיינים לכתובות IP), כלומר כתובת URL אסתטית יותר המפנה את המשתמש לכתובת IP ספציפית. במקרים מסוימים, תוקף עשוי שלא לתקוף ישירות את לקוח ה-VPN או את השרת אלא את רשומת ה-DNS עצמה, ולהשתמש בה כדי למנוע שירות, לשנות בו מידע או להאזין (sniff) למידע העובר בו. "Sniffing" משמעותו שהתוקף לוכד את תעבורת הרשת בין שתי נקודות המדברות אחת עם השנייה באופן המאפשר לו להקליט את כל המידע העובר.
דוגמא לתקיפת דומיין תהיה Domain Hijacking, בה למשל אם הארגון השתמש בעבר בשירות ענן אבל לא הקפיד להסיר את רשומות ה-DNS, כל אחד יכול לתפוס בעלות על רשומות אלה והארגון יעמוד במצב מסוכן.
כדי לצמצם את הסיכון, חשוב להגדיר ישירות את כתובת ה-IP של שרתי החברה מבלי להשתמש בשם, עד כמה שניתן.
4. איך העובדים מתחברים לאינטרנט?
עובדים מתחברים בדרך כלל לאינטרנט מהרשת הביתית, דרך Wi-Fi. מתי לאחרונה ביקר צוות המחשוב של החברה בביתו של עובד כדי לוודא שהרשת מאובטחת? רוב הסיכויים שמעולם לא.
כתוצאה מכך, מתקפות על רשתות Wi-Fi ביתיות מתרחשות לעתים קרובות. הן יכולות להיות מגוונות ופשוטות, כמו למשל התמקדות בפרוטוקולי WEP עם הצפנה קלה תוך שימוש ב-SSID שהוגדרו כברירת מחדל וסיסמאות, או לנצל את חולשת ה-WPA2 Krack (המנצלת את החולשות בתקני ה-Wi-Fi), Evil Twin (למשל, הקמת נקודת גישה ל-Wi-Fi המהווה מלכודת לגניבת סיסמאות) ומסלולים מוכרים אחרים.
ברגע שתוקף פנימי חדר לרשת, הוא יכול, למשל, לנצל את היכולות שהשיג כדי לבצע מתקפת DNS Spoofing שתאפשר לו לתקוף דומיינים ולייצר אחיזה דומה, ובהקשרים מסויימים חזקה יותר, מזו שהוצגה בסעיף הקודם. הוא יכול גם לתקוף ישירות את המחשב של העובד כדי לחשוף מידע יקר-ערך המאוחסן באופן מקומי. ממצב זה, הדרך להסתנן למעגלים רחבים יותר של רשתות החברה היא קצרה ופשוטה למדי.
הדרך הטובה ביותר עבור ארגון להתגונן מפני האמור לעיל, היא לתת הרשאה אך ורק ללפטופים שעליהם יש למנהלי IT שליטה. בדרך זאת, צוותי האבטחה יכולים להתקין את כלי האבטחה המתאימים שיאתרו מרחוק את המתקפות במקרה הצורך.
5. האם הרשאות ההתחברות לעובדים ל-VPN מספיק חזקות ומוגנות?
בהרבה ארגונים, מדיניות האכיפה של הרשאות ההתחברות למערכות אינה חזקה מספיק. צוותי האבטחה צריכים כל הזמן להזכיר לעצמם עד כמה הרשאות התחברות (login) הן רווחיות לתוקפים. לכן, שימוש במנגנוני הזדהות מרובי-גורמים (MFA – Multi Factor Authentication) בכל החיבורים ובכל תהליכי ההזדהות צריך להיות בראש סדר העדיפויות, כדי לנטרל את וקטורי ההתקפה האלה.
עסקים רבים משתמשים ב-VPN כדי לספק לעובדים גישה מרחוק במהלך משבר נגיף הקורונה. שירותי VPN מספקים גישה כוללת למערכות החברה, ליישומים ולדאטה, אבל הם גם חלום בלהות עבור צוותי אבטחה בכל מה שקשור לצמצום סיכונים. מהן השאלות שאנשי האבטחה צריכים לשאול את עצמם לגבי אבטחת חיבורי VPN?
צילום אילוסטרציה: Bigstock
מאת: ניר צ'קו/מעבדות סייברארק
1. כמה זמן עבר מאז הפעם האחרונה שבה שדרגנו את תוכנת ה-VPN?
שירותי VPN הפכו לאחרונה לווקטור תקיפה פופולרי. לא רק נגיף הקורונה מחזק את מגמת העבודה מהבית. לעתים מדובר בבחירה של סגנון חיים שהפכה שכיחה למדי ומספקת גמישות לעובדים, אך בה בעת יוצרת מטרה חדשה לתוקפים. ב-2019 לבד חוקרים חשפו שורה של חולשות חדשות ב-VPNs, לרבות CVE-2019-14899, המאפשרת לתוקפים לחטוף "sessions" ב-VPN, ואת מתקפת Fox Kitten האיראנית.
ביטחון בכל מקום: בואו לעקוב אחרינו באינסטגרם, בפייסבוק ובטוויטר
חשיפות אלה, המתווספות לחולשות ידועות נוספות, רק מדגישות את העובדה שהפכה חשובה מתמיד: מכיוון שארגונים רבים מסתמכים כיום כמעט באופן מלא על שירותי VPN, צריך לוודא שהתוכנות איתן מתחברים לשירותים אלה מעודכנות ומוגדרות בצורה הדוקה.
2. עד כמה העובדים שלנו מודעים לתחבולות?
ידוע שתוקפים מנצלים מצבי משבר, כמו מגפת נגיף הקורונה העולמית, כדי לתקוף את מטרותיהם באמצעות הנדסה חברתית. גישה זאת מתבססת על ההנחה שהגורם האנושי, יותר מכל מערכות טכנולוגית, הוא לעתים קרובות החוליה החלשה ביותר בשרשרת האבטחה.
בתקופה שבה נגיף הקורונה משתלט על התודעה שלנו, קל לתוקפים לנצל את החששות האנושיים ולהזין אותנו במידע זדוני, כשהוא מוסווה בעצות לגיטימיות-כביכול לגבי בריאות ותחושת רווחה כללית. בדרך זאת, הם יוצרים מתקפות "פישינג" מסיביות. הודעות על חיסונים והודעות דחופות על עדכונים של נהלי החברה בעקבות נגיף הקורונה, למשל, עלולות לגרום לעובדים, גם כאלה שמודעים לסיכון של מתקפות פישינג, ליפול במלכודת.
לכן חיוני להגביר את המודעות ולוודא שהעובדים מדווחים באופן מיידי על ניסיונות פישינג לצוות הרלוונטי בחברה.
3. לאן מוגדר שהמחשב שלך יתחבר עבור קישור ה-VPN?
תוכנת ה-VPN המותקנת על המחשב כדי להתחבר לרשתות וירטואליות פרטיות, מגיעה בדרך כלל מותקנת מראש עם הגדרות שצוות ה-IT בחברה הגדיר. את כתובת שרת ה-VPN ניתן להגדיר הן באמצעות כתובת IP והן באמצעות שם השרת באינטרנט.
שמו של שרת ה-VPN הוא בדרך כלל השם של רשומת DNS (פרוטוקול המאפשר תרגום דומיינים לכתובות IP), כלומר כתובת URL אסתטית יותר המפנה את המשתמש לכתובת IP ספציפית. במקרים מסוימים, תוקף עשוי שלא לתקוף ישירות את לקוח ה-VPN או את השרת אלא את רשומת ה-DNS עצמה, ולהשתמש בה כדי למנוע שירות, לשנות בו מידע או להאזין (sniff) למידע העובר בו. "Sniffing" משמעותו שהתוקף לוכד את תעבורת הרשת בין שתי נקודות המדברות אחת עם השנייה באופן המאפשר לו להקליט את כל המידע העובר.
דוגמא לתקיפת דומיין תהיה Domain Hijacking, בה למשל אם הארגון השתמש בעבר בשירות ענן אבל לא הקפיד להסיר את רשומות ה-DNS, כל אחד יכול לתפוס בעלות על רשומות אלה והארגון יעמוד במצב מסוכן.
כדי לצמצם את הסיכון, חשוב להגדיר ישירות את כתובת ה-IP של שרתי החברה מבלי להשתמש בשם, עד כמה שניתן.
4. איך העובדים מתחברים לאינטרנט?
עובדים מתחברים בדרך כלל לאינטרנט מהרשת הביתית, דרך Wi-Fi. מתי לאחרונה ביקר צוות המחשוב של החברה בביתו של עובד כדי לוודא שהרשת מאובטחת? רוב הסיכויים שמעולם לא.
כתוצאה מכך, מתקפות על רשתות Wi-Fi ביתיות מתרחשות לעתים קרובות. הן יכולות להיות מגוונות ופשוטות, כמו למשל התמקדות בפרוטוקולי WEP עם הצפנה קלה תוך שימוש ב-SSID שהוגדרו כברירת מחדל וסיסמאות, או לנצל את חולשת ה-WPA2 Krack (המנצלת את החולשות בתקני ה-Wi-Fi), Evil Twin (למשל, הקמת נקודת גישה ל-Wi-Fi המהווה מלכודת לגניבת סיסמאות) ומסלולים מוכרים אחרים.
ברגע שתוקף פנימי חדר לרשת, הוא יכול, למשל, לנצל את היכולות שהשיג כדי לבצע מתקפת DNS Spoofing שתאפשר לו לתקוף דומיינים ולייצר אחיזה דומה, ובהקשרים מסויימים חזקה יותר, מזו שהוצגה בסעיף הקודם. הוא יכול גם לתקוף ישירות את המחשב של העובד כדי לחשוף מידע יקר-ערך המאוחסן באופן מקומי. ממצב זה, הדרך להסתנן למעגלים רחבים יותר של רשתות החברה היא קצרה ופשוטה למדי.
הדרך הטובה ביותר עבור ארגון להתגונן מפני האמור לעיל, היא לתת הרשאה אך ורק ללפטופים שעליהם יש למנהלי IT שליטה. בדרך זאת, צוותי האבטחה יכולים להתקין את כלי האבטחה המתאימים שיאתרו מרחוק את המתקפות במקרה הצורך.
5. האם הרשאות ההתחברות לעובדים ל-VPN מספיק חזקות ומוגנות?
בהרבה ארגונים, מדיניות האכיפה של הרשאות ההתחברות למערכות אינה חזקה מספיק. צוותי האבטחה צריכים כל הזמן להזכיר לעצמם עד כמה הרשאות התחברות (login) הן רווחיות לתוקפים. לכן, שימוש במנגנוני הזדהות מרובי-גורמים (MFA – Multi Factor Authentication) בכל החיבורים ובכל תהליכי ההזדהות צריך להיות בראש סדר העדיפויות, כדי לנטרל את וקטורי ההתקפה האלה.
