國內外VPN產品安全現狀和趨勢的思考
2019年8月,一夥來自中東的黑客悄無聲息的遛進了美國政府的網站,黑客們帶走了什麼沒有人清楚,不過後知後覺的美國政府在幾個月之後才發出了相關漏洞的預警,這個漏洞存在於美國政府的VPN提供商Pluse VPN的產品上,漏洞編號為CVE-2019-11510,據美國FBI的預警,黑客可以利用這個漏洞獲取登錄用戶的名單,讀取伺服器的配置,讀取登錄驗證緩存並且拿到高級許可權。漏洞一經披露,整個網路風聲鶴唳,各種受影響的消息鋪天蓋地而來,攻擊者滲透進了數個美國政府的網路,嘗試獲取了郵件信息,據悉漏洞發生的時候,美國宇航局(NASA),有超過十個帶了這個Bug的伺服器暴露在外網。藍星最強的美帝尚且如此狼狽,可見VPN漏洞之普遍。
自新冠疫情發生以來,越來越多的機構或者企業選擇在家遠程辦公,為了滿足足不出戶就能上課和學習,為了對企業人員進行遠程授權管理,VPN又被推到了時代的聚光燈下。VPN,全稱為虛擬專用網路,其主要作用是連接處於互聯網上的各個終端,使其能夠像在區域網一樣訪問彼此的資源,並且提供統一的數據加密,授權管理服務,因此在政府、學校、商業機構中被廣泛應用。VPN在疫情期間變得越來越火,企業級用戶激增,其帶來豐厚效益提升的同時也帶來層出不窮的問題。
為什麼VPN是眾多黑客喜聞樂攻的香餑餑
VPN是從外網進入內網的核心節點,類似的節點還有IPS、IDS等,這些節點是內網和外網邊界的核心節點,如果被攻克的話,黑客就能事半功倍的進入內網,如入無人之境,帶來的收益是及其誘人的,同時VPN這個品類本身的產品滲透率就比IPS、IDS等這些產品高,因此更容易成為黑客最常攻擊的目標。
以國外的VPN為例,除了上述美國政府面臨的VPN問題之外,在過去一年中海外的其他VPN服務提供商例如:Palo Alto Networks、Fortinet、Cisco等都被披露有嚴重安全漏洞。從身份驗證失效,到遠程代碼執行問題,從登錄信息泄漏,到許可權管理失效。以Cisco為例子,最近就出現了遠程代碼執行的漏洞,例如CVE-2020-3323和CVE-2020-3331黑客能夠利用該漏洞控制Cisco用戶的伺服器。國內的VPN也一樣,目前國內市場佔有率靠前的深信服,其VPN也面臨同樣的情況,也在今年被爆出了漏洞。
安全廠商需要提升產品安全性並保持透明,用戶也要逐步增強安全意識
從廠商的角度,VPN廠商應該在加大安全投入的同時還需要確保和客戶保持漏洞信息透明。
一方面,安全廠商應該建立軟體安全研發流程,積極應用落實SDL或DevSecOps等。在需求、設計、發布、運營的軟體開發全生命周期中落地安全動作,通過安全培訓、威脅建模、安全測試等手段儘可能的前移發現安全漏洞;並通過建立質量門限把關產品安全交付質量,從而提升產品整體安全質量;實時關注安全情報,通過有效及時的應急響應機制,保障安全事件的有效止損和處置,最大化降低安全問題與事件對產品和用戶的影響。
(圖片來源微軟官網,DevSecOpsin Azure)
另一方面,安全廠商需要建設更好的產品漏洞通知和維護機制。Google在這方面就做了良好的示範,首先Google實施了漏洞管理流程,其商業化工具和內部專門構建的工具來掃描軟體漏洞,並通過自動和手動滲透工作、質量保證流程、軟體安全審查和外部審核來確保軟體的安全性。然後Google成立了專門的漏洞管理團隊負責跟蹤和跟進漏洞。當Google確定了需要修復的漏洞之後,便會記錄漏洞,並根據嚴重程度確定優先順序,然後為其分配所有者。然後Google漏洞管理團隊會跟蹤此類問題,並經常跟進,直至確認問題已得到修復。
從用戶的角度,也需要意識到VPN作為系統邊界的重要性,要認真對待官方發出的漏洞預警並及時響應。《網路安全法》規定關鍵信息基礎設施的運營者須對重要系統和數據進行容災備份,並對系統漏洞等安全風險採取相應的補救措施。省級以上政府有關部門、中央網信部門、公安部門會對關鍵信息基礎設施不定期開展抽查和檢測工作,針對較大安全風險或安全事件,會提出整改要求,甚至給予行政處罰。
VPN為各類單位的遠程連接提供了有力保證,使得各類單位的業務能夠快速而高效的擴展到天南海北。雖然目前也有很多從業者在提VPN已經過時,現在應該使用零信任了,但因為短期內零信任的落地障礙,估計VPN被零信任完全取代還有很長的路要走。為確保VPN產品的安全使用,廠商與用戶應齊心協力,一同打造更加安全的網路環境。