Інструкції з безпеки для захисту серверів VPN, опубліковані NSA та CISA
Агентство національної безпеки (NSA) та Агентство кібербезпеки та безпеки інфраструктури (CISA) опублікували технічні рекомендації щодо правильного захисту VPN-серверів, які використовуються організаціями, щоб забезпечити співробітникам віддалений доступ до внутрішніх мереж.
За даними АНБ, ці технічні рекомендації були створені після того, як кілька країн підтвердили, що суб'єкти розширеної стійкої загрози (APT) використовували вразливості звичайних серверів VPN як спосіб зламати організації.
Наприклад, було виявлено, що китайські, іранські та російські спонсоровані державою групи використовували вразливості в мережах Pulse Secure і Fortinet під час кампаній, які проводилися між 2019 і 2021 роками.
Згідно з прес-релізом АНБ :
Використання цих CVE [вразливостей] може дозволити зловмисникові викрасти облікові дані, віддалено виконувати код, послабити криптографію зашифрованого трафіку, захопити сеанси зашифрованого трафіку та зчитувати конфіденційні дані з пристрою. У разі успіху ці ефекти зазвичай призводять до подальшого зловмисного доступу і можуть призвести до широкомасштабного компромісу корпоративної мережі.
Роб Джойс, директор з кібербезпеки в АНБ, сказав, що останні вказівки АНБ і CISA можуть допомогти зменшити вашу поверхню атаки.
Виявилося, що різні банди програм-вимагачів, такі як Conti, Ryuk, REvil, DoppelPaymer, LockBit та деякі інші, використовують VPN-сервери як точки входу в організації, перш ніж розширити доступ до внутрішніх мереж і почати кібератаки.
Крім того, VPN-сервери також використовуються ботнетами для майнінгу криптовалют для проникнення в корпоративні мережі, а потім під загрозу внутрішніх систем за допомогою прихованого програмного забезпечення для майнінгу криптовалюти, яке споживає обчислювальні ресурси для отримання фінансових прибутків зловмисників.
Під час розмови з The Record Роб Джойс сказав:
Використання VPN з віддаленим доступом може стати шлюзом до широкомасштабного компромісу. Ми створили рекомендації, щоб допомогти організаціям зрозуміти, на що звертати увагу при виборі VPN і як їх налаштувати, щоб зменшити ризик використання. Використовуйте ці рекомендації, щоб переконатися, що будь-які VPN безпечно налаштовані.
Технічні рекомендації, які, як очікується, будуть оновлюватися, містять поради з таких тем:
- Рекомендації щодо вибору VPN віддаленого доступу
- Інструкція щодо налаштування надійної криптографії та аутентифікації
- Консультація щодо подолання поверхні атаки VPN за допомогою лише суворо необхідних функцій
- Інструкція щодо захисту та моніторингу доступу до та з VPN
Нещодавня кібератака в Сполучених Штатах:
Зернова компанія NEW Cooperative Inc., що базується в Айові, постраждала від атаки програмного забезпечення-вимагача, що змусило її вимкнути свою систему для протидії атаці. Група BlackMatter, яка стоїть за атакою, вимагала викуп за населення, оскільки це може вплинути на ланцюжок поставок у США, спричинивши потенційний дефіцит продовольства.
Детальніше про це читайте тут: Атака програм-вимагачів на 5,9 мільйона доларів США на фермерський кооператив США.