Рекомендации по безопасности для защиты VPN-серверов, опубликованные АНБ и CISA
Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) опубликовали технические рекомендации по правильной защите VPN-серверов, используемых организациями для предоставления сотрудникам удаленного доступа к внутренним сетям.
Согласно АНБ, это техническое руководство было создано после того, как несколько стран подтвердили, что субъекты продвинутых постоянных угроз (APT) использовали уязвимости в обычных VPN-серверах как способ взлома организаций.
Например, было обнаружено, что китайские, иранские и российские спонсируемые государством группы используют уязвимости в Pulse Secure и Fortinet VPN в ходе кампаний, проводившихся в период с 2019 по 2021 год.
Согласно пресс-релизу АНБ :
Эксплуатация этих CVE [уязвимостей] может позволить злоумышленнику украсть учетные данные, удаленно выполнить код, ослабить криптографию зашифрованного трафика, перехватить сеансы зашифрованного трафика и прочитать конфиденциальные данные с устройства. В случае успеха эти эффекты обычно приводят к дальнейшему злонамеренному доступу и могут привести к крупномасштабному взлому корпоративной сети.
Роб Джойс, директор по кибербезопасности в АНБ, сказал, что последние рекомендации АНБ и CISA могут помочь сократить поверхность вашей атаки.
Было обнаружено, что различные банды вымогателей, такие как Conti, Ryuk, REvil, DoppelPaymer, LockBit и некоторые другие, используют VPN-серверы в качестве точек входа в организации, прежде чем расширять доступ к внутренним сетям и запускать свои кибератаки.
Более того, VPN-серверы также используются ботнетами для майнинга криптовалюты для проникновения в корпоративные сети, а затем для создания угрозы внутренним системам с помощью скрытого программного обеспечения для майнинга криптовалюты, которое потребляет вычислительные ресурсы для получения финансовой прибыли злоумышленниками.
Во время разговора с The Record Роб Джойс сказал:
Использование VPN с удаленным доступом может стать воротами для крупномасштабной компрометации. Мы создали руководство, чтобы помочь организациям понять, на что обращать внимание при выборе VPN и как их настроить, чтобы снизить риск использования. Используйте эти рекомендации, чтобы убедиться, что все VPN настроены безопасно.
Технические рекомендации, которые, как ожидается, будут обновляться, содержат рекомендации по следующим темам:
- Рекомендации по выбору VPN удаленного доступа
- Инструкция по настройке стойкой криптографии и аутентификации
- Консультация по преодолению поверхности атаки VPN за счет запуска только строго необходимых функций
- Указания по защите и мониторингу доступа к VPN и из нее
Недавняя кибератака в США:
Зерновая компания NEW Cooperative Inc. из Айовы подверглась атаке программы-вымогателя, что вынудило ее закрыть свою систему, чтобы противостоять атаке. Группа BlackMatter, стоящая за нападением, потребовала выкуп за общественность, поскольку это может повлиять на цепочку поставок в США, вызвав потенциальную нехватку продовольствия.
Подробнее об этом читайте здесь: Атака программ-вымогателей на сумму 5,9 миллиона долларов на фермерский кооператив в США.