نقاط الضعف في شبكات VPN التجارية تحت الأضواء
ظهرت خدمات الشبكة الافتراضية الخاصة (VPN) كأدوات أساسية للشركات الحديثة في السنوات الأخيرة، وذلك بشكل مضاعف منذ المساعدة في إنقاذ الموقف للعديد منها وسط الاندفاع السريع الذي يغذيه الوباء إلى العمل عن بعد في عام 2020. نفق لبيانات الشركة التي تنتقل بين شبكات الشركة وأجهزة الموظفين، تساعد شبكات VPN على تأمين المعلومات الحساسة دون المساس بإنتاجية الموظفين أو تعطيل العمليات ذات المهام الحرجة للشركات. ونظرًا لأن العديد من المؤسسات استقرت منذ ذلك الحين على نموذج مكان العمل المختلط الذي يمزج بين العمل داخل المكتب والعمل أثناء التنقل، فقد ظلت شبكات VPN للوصول عن بعد عنصرًا أساسيًا في الاتصال بالشبكة وأدوات الأمان الخاصة بها.
من ناحية أخرى، تعرضت الشبكات الافتراضية الخاصة أيضًا لتدقيق متزايد بسبب زيادة الثغرات الأمنية وعمليات الاستغلال التي تستهدفها، وأحيانًا حتى قبل أن يتم طرح التصحيحات. وبما أن الشبكات الافتراضية الخاصة من المحتمل أن تمثل مفاتيح مملكة الشركات، فإن جاذبيتها للجهات الفاعلة في الدولة القومية ومجرمي الإنترنت على حد سواء لا يمكن إنكارها. يخصص الخصوم موارد كبيرة للبحث عن نقاط الضعف في مجموعات برمجيات الشركات، مما يمارس مزيدًا من الضغط على المؤسسات ويؤكد أهمية الممارسات القوية لتخفيف المخاطر.
في عصر أصبح فيه الاستغلال الجماعي للثغرات الأمنية، والهجمات واسعة النطاق على سلسلة التوريد، وغيرها من الخروقات لدفاعات الشركات أمرًا شائعًا بشكل متزايد، تتزايد المخاوف ليس فقط بشأن قدرة الشبكات الافتراضية الخاصة على المساعدة في حماية بيانات الشركة ضد الجهات الفاعلة السيئة، ولكن أيضًا حول كون هذا البرنامج نفسه مصدرًا آخر للمخاطر الإلكترونية.
وهذا يطرح السؤال: هل يمكن أن تكون الشبكات الافتراضية الخاصة للأعمال بمثابة مسؤولية تزيد من مسؤولية مؤسستك سطح الهجوم؟
مفاتيح المملكة
تقوم شبكة VPN بتوجيه حركة مرور المستخدم عبر نفق مشفر يحمي البيانات من أعين المتطفلين. السبب الرئيسي لوجود VPN للأعمال هو إنشاء اتصال خاص عبر شبكة عامة أو الإنترنت. ومن خلال القيام بذلك، فإنه يمنح القوى العاملة المنتشرة جغرافيًا إمكانية الوصول إلى الشبكات الداخلية كما لو كانوا جالسين في مكاتبهم، مما يجعل أجهزتهم جزءًا من شبكة الشركة.
ولكن مثلما يمكن أن ينهار النفق أو يحدث به تسريبات، كذلك يمكن لجهاز VPN الضعيف أن يواجه جميع أنواع التهديدات. غالبًا ما تكون البرامج القديمة سببًا في وقوع العديد من المؤسسات ضحية للهجوم. يمكن أن يؤدي استغلال ثغرة VPN إلى تمكين المتسللين من سرقة بيانات الاعتماد واختطاف جلسات المرور المشفرة وتنفيذ تعليمات برمجية عشوائية عن بعد ومنحهم إمكانية الوصول إلى بيانات الشركة الحساسة. هذا تقرير ثغرات VPN 2023 يقدم نظرة عامة مفيدة حول نقاط ضعف VPN التي تم الإبلاغ عنها في السنوات الأخيرة.
في الواقع، تمامًا مثل أي برنامج آخر، تتطلب شبكات VPN تحديثات الصيانة والأمان لتصحيح الثغرات الأمنية. يبدو أن الشركات تواجه صعوبة في مواكبة تحديثات VPN، بما في ذلك لأن شبكات VPN في كثير من الأحيان لا تحتوي على أوقات توقف مخطط لها، ومن المتوقع بدلاً من ذلك أن تكون جاهزة للعمل في جميع الأوقات.
مجموعات برامج الفدية معروفة في كثير من الأحيان استهداف خوادم VPN الضعيفةومن خلال الوصول مرة واحدة على الأقل، يمكنهم التنقل عبر الشبكة للقيام بكل ما يحلو لهم، مثل تشفير البيانات والاحتفاظ بها للحصول على فدية، وتسربها، وإجراء التجسس، والمزيد. بمعنى آخر، فإن الاستغلال الناجح للثغرة الأمنية يمهد الطريق لمزيد من الوصول الضار، مما قد يؤدي إلى اختراق واسع النطاق لشبكة الشركة.
الحكايات التحذيرية كثيرة
في الآونة الأخيرة، بدأت الشؤون العالمية الكندية التحقيق في خرق البيانات بسبب اختراق حل VPN الذي تختاره، والذي كان مستمرًا لمدة شهر على الأقل. يُزعم أن المتسللين تمكنوا من الوصول إلى عدد غير معلوم من رسائل البريد الإلكتروني للموظفين والخوادم المختلفة التي اتصلت بها أجهزة الكمبيوتر المحمولة الخاصة بهم اعتبارًا من 20 ديسمبرذ2023 حتى 24 ينايرذ، 2024. وغني عن القول أن خروقات البيانات تأتي بتكاليف هائلة – 4.45 مليون دولار في المتوسط، وفقًا لتقرير شركة IBM. تكلفة اختراق البيانات 2023 تقرير.
وفي مثال آخر، وبالعودة إلى عام 2021، فإن الجهات التهديدية المتحالفة مع روسيا استهدفت خمس نقاط الضعف في منتجات البنية التحتية لشبكة VPN الخاصة بالشركات، مما استلزم إصدار تحذير عام من قبل وكالة الأمن القومي لحث المنظمات على تطبيق التصحيحات في أسرع وقت ممكن وإلا مواجهة خطر القرصنة والتجسس.
مصدر قلق آخر هو عيوب التصميم التي لا تقتصر على أي خدمة VPN معينة. على سبيل المثال، نقاط الضعف TunnelCrack، التي اكتشفها الباحثون مؤخرًا والتي تؤثر على العديد من الشبكات الافتراضية الخاصة للشركات والمستهلكين، يمكن أن تمكن المهاجمين من خداع الضحايا لإرسال حركة المرور الخاصة بهم خارج نفق VPN المحمي، والتطفل على عمليات نقل البيانات الخاصة بهم.
يلزم إجراء تحديثات أمنية مهمة لسد هذه الأنواع من الثغرات الأمنية، لذا فإن البقاء على اطلاع عليها أمر لا بد منه. وكذلك الأمر بالنسبة لوعي الموظفين، حيث يوجد تهديد تقليدي آخر يتضمن جهات فاعلة سيئة تستخدم مواقع ويب خادعة لخداع الموظفين لدفعهم إلى تسليم بيانات اعتماد تسجيل الدخول إلى VPN الخاصة بهم. يمكن للمحتال أيضًا سرقة هاتف الموظف أو الكمبيوتر المحمول الخاص به من أجل التسلل إلى الشبكات الداخلية وتسوية و/أو تسريب البيانات، أو التطفل بهدوء على أنشطة الشركة.
تأمين البيانات
لا ينبغي للشركات أن تعتمد فقط على شبكة VPN الخاصة بها كوسيلة لحماية موظفيها ومعلوماتها الداخلية. لا تحل شبكة VPN محل الحماية العادية لنقطة النهاية، ولا تحل محل طرق المصادقة الأخرى.
فكر في نشر حل يمكن أن يساعدك تقييم الضعف والتصحيح حيث لا يمكن التأكيد بما فيه الكفاية على أهمية البقاء على اطلاع بالتحديثات الأمنية الصادرة عن صانعي البرامج، بما في ذلك موفري VPN. بمعنى آخر، تعد الصيانة الدورية والتحديثات الأمنية إحدى أفضل الطرق لتقليل احتمالات وقوع حادث إلكتروني ناجح.
الأهم من ذلك، اتخاذ تدابير إضافية لتعزيز VPN الذي تختاره ضد التسوية. لدى وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووكالة الأمن القومي (NSA) التابعتين للولايات المتحدة كتيب مفيد الذي يحدد الاحتياطات المختلفة التي تفعل ذلك. يتضمن ذلك تقليص سطح الهجوم، واستخدام تشفير قوي لتشفير بيانات الشركة الحساسة، والمصادقة القوية (مثل العامل الثاني المضاف في شكل رمز لمرة واحدة) ومراقبة استخدام VPN. استخدم شبكة VPN تتوافق مع معايير الصناعة ومن بائع حسن السمعة وله سجل حافل في اتباع أفضل ممارسات الأمن السيبراني.
لا يوجد برنامج VPN يضمن الحماية المثالية، ومن غير المستحسن أن تعتمد الشركة عليه فقط لإدارة الوصول. يمكن للمؤسسات أيضًا الاستفادة من استكشاف خيارات أخرى لدعم القوى العاملة الموزعة، مثل أمان الثقة صفر نموذج يعتمد على المصادقة المستمرة للمستخدمين، بالإضافة إلى عناصر التحكم الأخرى، والتي تشمل المراقبة المستمرة للشبكة، وإدارة الوصول المميز والمصادقة الآمنة متعددة الطبقات. يضيف الكشف عن نقطة النهاية والاستجابة لها بالإضافة إلى ذلك، يمكن أن يؤدي ذلك، من بين أمور أخرى، إلى تقليص سطح الهجوم، كما يمكن لقدرات الكشف عن التهديدات القائمة على الذكاء الاصطناعي أن تسلط الضوء تلقائيًا على السلوك المشبوه.
بالإضافة إلى ذلك، ضع في اعتبارك أمان VPN الذي لديك أو تريده. وهذا يعني أن الشبكات الافتراضية الخاصة يمكن أن تختلف فيما تقدمه، حيث أن هناك الكثير تحت السطح أكثر من مجرد إنشاء اتصال بسيط بالخادم لأنه قد يتضمن أيضًا العديد من الإجراءات الأمنية الإضافية. ويمكن أن تختلف شبكات VPN أيضًا في كيفية تعاملها مع وصول المستخدم، فقد يتطلب أحدها إدخالًا ثابتًا لبيانات الاعتماد، بينما قد يكون الآخر أمرًا يتم تنفيذه مرة واحدة.
فراق الأفكار
على الرغم من أن الشبكات الافتراضية الخاصة غالبًا ما تكون عنصرًا حاسمًا للوصول الآمن عن بعد، إلا أنها يمكن أن تكون – خاصة في غياب الممارسات والضوابط الأمنية الأخرى – أهدافًا مثيرة للمهاجمين الذين يتطلعون إلى اقتحام شبكات الشركات. قامت مجموعات مختلفة من التهديدات المستمرة المتقدمة (APT) مؤخرًا بتسليح نقاط الضعف المعروفة في برامج VPN لسرقة بيانات اعتماد المستخدم وتنفيذ التعليمات البرمجية عن بُعد واستخراج جواهر التاج الخاصة بالشركة. عادةً ما يمهد الاستغلال الناجح لهذه الثغرات الأمنية الطريق لمزيد من الوصول الضار، مما قد يؤدي إلى اختراقات واسعة النطاق لشبكات الشركات.
ومع تطور أنماط العمل، يستمر الطلب على الوصول عن بعد، مما يؤكد الأهمية المستمرة لإعطاء الأولوية لأمن القوى العاملة المتفرقة كعنصر أساسي ضمن الاستراتيجية الأمنية للمنظمة.
إرسال التعليق