VPN黑客可以致命,警告安全专家
许多组织实现了虚拟专用网络(VPN)访问,以提高远程连接的安全性,但存在关联的风险不应该被忽视。
虽然没有被称为赎金软件攻击,但VPN黑客通常是Varonis Systems的网络安全总监Shezaf的基础网络攻击的一部分。
“我们很少了解这种攻击中使用的技术手段,但2015年12月对乌克兰电源的攻击是对这些袭击的致命的良好示例,”他每周告诉计算机。
为了访问系统以关闭变电站的断路器,Shezaf表示攻击者窃取凭证并使用劫持帐户通过VPN渗透系统。
他说,VPN滥用的其他例子包括2014年乔治亚太平洋,大型美国纸制造商的系统管理员,被解雇并使用VPN远程访问来销毁制造设备。
RSA Breacal是又一个例子,其中黑客窃取了用于生成所有RSA的安全ID的私钥,以穿透通过其VPN使用安全ID的组织,最广泛地窃取主要防御承包商的机密信息。
根据Shezaf的说法,减轻VPN黑客攻击的最佳实践方法是双因素认证(2FA)。在实现2FA的情况下,除了密码以进行身份验证,用户需要呈现其他内容。
2Fa最常用的其他因素是短信,其他因素是单次代码应用程序或设备和生物识别装置,如指纹或面部识别
Shezaf表示,2FA是重要的,降低风险,但补充说,它是“不是防弹解决方案”。因为短信通常用于2FA,所以访问某人的手机是一种简单的方法来绕过2FA,他警告说。更复杂的黑客利用SS7中的众所周知的弱点,用于访问2FA身份验证短信的电话网络的信令协议。
“作为RSA事件表明,绕过2FA可能不仅可以用于基于短信的2FA,而且虽然2FA效果良好,但在随机的低成本攻击方面,表演目标攻击者的复杂黑客可以在其上找到方法,”他说。
Shezaf表示,2FA的另一个问题是它不能普遍使用,因为它可能是困难或不可能的使用。“例如,如果您正在驾驶,则难以将2FA织成身份验证序列,如果在您在飞行时发送代码,则无法访问依赖于有限的生命文本访问代码的网站,”他说。
因此,许多界面允许某种没有2FA的身份验证,但是黑客可以将其与他们的优势一起使用,Shezaf说。
“今天的假设是将发生违规行为,但必须尽可能快地检测,隔离和减轻。为了增加传统的VPN安全和2FA,我们需要使用分析来检测攻击,“他说。
例如,要突破攻击者,攻击者损失了VPN,分析可用于阻止与分开数百或数千英里的位置的同一用户的两个连续登录或检测来自已知不良源的蛮力攻击或访问尝试。
“机器学习可以帮助您了解各种用户通常如何使用VPN,分析通常连接的位置以及它们在外部时使用的内部资源以及他们通常传输的数据量如何,”Shezaf说。
“高级分析将使VPN数据与来自其他来源的数据组合,以确保更准确和上下文感知的检测。如果用户最近没有登录,则从意外的远程位置工作更具可疑的。同样,如果用户同时触摸敏感或陈旧数据,则通过VPN连接的异常数据传输更加严重,“他说。
Shezaf表示,本课程可能是其他远程访问方法(如远程桌面协议(RDP)和Cloud)。
“随着组织采用较少的云服务,使用越来越多的云服务,使用VPN的使用是下降。然而,相同的挑战和解决方案适用于云服务,“他说。
“身份验证再一次是弱点,2FA提供了答案,但它具有缺点。用于检测恶意VPN活动的相同分析可用于检测恶意云访问。“
由Microsoft开发的RDP越来越多地担任简单的VPN。“由于它比任何特定的VPN产品更常见,因此它已成为恶意软件的频繁目标,”Shezaf说。
“最近几个月,RDP是挑战的逐步下载作为赎金软件的热门感染矢量。他说,向RDP扩展到RDP的VPN分析可以作为对这些攻击的优异安全控制。“
Shezaf将在6月6日在伦敦的InfoSecurity Europe 2018年在伦敦举行的介绍期间更详细地讨论这个主题:VPN黑客的解剖学:是2Fa吗?