V**的死亡:企业安全需要新的基础
二十年来,企业V**在不断变化的环境中占据着独特的稳固地位。近二十年前推向市场,企业V**技术已经独树一帜。大多数大型组织仍采用V**解决方案,许多人似乎毫无疑问地依赖它提供安全的远程访问。对于一种在20年内没有根本改变的工具来说,这是一个稀有的位置。V**为员工,客户和第三方提供对内部应用程序的“安全”远程访问的能力仍然被认为是当今企业界的必需品。然而,在
二十年来,企业V**在不断变化的环境中占据着独特的稳固地位。
近二十年前推向市场,企业V**技术已经独树一帜。大多数大型组织仍采用V**解决方案,许多人似乎毫无疑问地依赖它提供安全的远程访问。对于一种在20年内没有根本改变的工具来说,这是一个稀有的位置。
V**为员工,客户和第三方提供对内部应用程序的“安全”远程访问的能力仍然被认为是当今企业界的必需品。然而,在当今现代网络的背景下,曾经简单有效的远程工具已经成为一种越来越低效和不安全的解决方案。移动用户,自带设备(BYOD)策略和云应用程序正在测试传统V**依赖架构的限制,并且不确定企业V**等传统工具是否能够在持续的技术转变中存活下来。
在探讨其故障之前,有必要解释一下企业V**是允许员工从远程位置访问内部资源的基本网关。这里,访问控制的工作方式与本地设备的工作方式基本相同:每个工作人员都被授予对网络服务具有预定访问权限的登录。
问题在于:现代企业中“内部”与“外部”之间的界限正在变得模糊,因为企业正在处理越来越多需要远程访问的承包商,提供商和第三方供应商。更重要的是,它们都需要不同的权限。监督这些不同的特权是最困难的,这会使攻击面扩大。
应用程序快速迁移到云也是一个重要的考虑因素。这包括软件即服务(SaaS)和基础架构即服务(IaaS)环境。因此,我们不再受到具有明确分界点的安全网络边界的屏蔽。
现有的传统V**安全性无法充分解决这种复杂程度。这是一个万能的解决方案,没有考虑到当今灵活的企业边界。
周边越宽,风险越大
在过去,生活很简单:我们拥有静态连接的企业自有设备,可以在固定的企业范围内访问静态,定义明确的企业应用程序。V**在这里运作良好 - 特别是在员工少于一百的公司,没有第三方用户,没有应用程序升级且没有频繁更改角色的公司。
今天,我们有多个设备 - 公司和个人 - 从任意数量的地方连接到公司资源。仍然错误地认为,如果设备属于员工并且通过LAN进行身份验证,则应允许其进行网络访问,包括是否通过V**远程连接。这种假设延续了传统和过时的外围模型,其中用户在网络上的位置定义了他们对固定资产访问的可信度和适用性。该技术缺乏实施现代企业现在需要的精细控制或不同权限的能力。
结果,通过V**连接到网络的授权用户固有地被授予几乎总是超过所需最小值的访问级别。这意味着即使是设计良好且分段的网络,如果攻击者妥协其中一个连接,也会为攻击者留下广泛的网络资源。
这种情况不仅仅是理论上的:在许多成功的攻击行为中,攻击者以某种方式利用了这种基本的访问权限。在一个备受瞩目的例子中,零售业巨头Lord&Taylor和Saks Fifth Avenue在2018年初宣布,他们的商店受到大量信用卡数据泄露的影响,据信这些数据泄露了多达500万客户的信息。
尽管发布的关于攻击媒介的细节很少,但“纽约时报” 报道说,这次袭击可能是由发送给商店控股公司员工的网络钓鱼骗局引发的。然后,受损用户的站点被用于进一步渗透网络环境。与绝大多数恶意软件一样,可以通过简单地删除,调解或进一步验证最终用户的访问权限来防止这种情况。这是基本的权限管理。
许多组织根本没有考虑到40%的违规行为源于授权用户访问未经授权的网络部分。在这种情况下,继续关注遗留身份验证和在网络级别上的可信度假设是没有意义的。
更好的方式
公司不再以分支机构,本地用户和内部数据中心为导向。因此,当边界变得不那么清晰时,不围绕用户设计的网络访问机制以及他们需要达到的特定资源不足。
一个零信托架构提供了防止“可信”的用户获得对网络过度访问,只是因为有在网络上没有受信任的用户开始使用另一种模式。
这种方法依赖于许多技术和概念来形成一个总体解决方案。例如,软件定义的周边(SDP)和微分段提供了改进的网络隔离和控制。访问决策从集合网络层传输到更精细的应用程序层,在这些应用程序层中,它们基于用户特定的信息进行。然后根据对个人身份的明智理解以及他或她所需的最低访问级别,逐个仲裁权限。
转换为此访问模型通常还意味着使用身份识别代理(IAP),该代理确保登录的用户不仅需要进行一次身份验证,还可以持续验证,并且可以实时检查他们的活动是否存在行为异常。当用户尝试使用应用程序时,会按身份,设备安全状态和ip地址对其进行审查,并使用安全密钥进一步对用户进行身份验证并防止帐户接管。
然后,安全团队可以依赖SaaS,云原生应用程序,简化员工访问,而无需进入用户不需要查看的特权网络区域。这允许最终用户接收具体映射到其身份的各个应用程序的逐个访问。
企业V**之死?
许多企业仍然依靠V**为特权用户或外部用户提供对关键基础设施的访问 - 尽管为了现代企业的安全性,V**可能无法实现。这种做法在未来几年可能会持续到一定程度,但是不断增长的边界以及由此带来的复杂安全挑战意味着企业V**在其当前的迭代中不太可能持续更长时间作为企业接入技术的基石。相反,它将仅作为有限的实用程序存在,仅代表一个更精确管理的云本机网络访问模型 - 如果它存在的话。
(William Chalk是Top10V** 的研究员。)
黑白网翻译自https://threatpost.com/death-enterprise-vpn/145907/