Connect with us

Deutsch

NSA, CISA-Partner für Leitfaden zu sicheren VPNs inmitten weit verbreiteter Ausbeutung durch Nationalstaaten

Published

on

Die NSA und der CISA haben einen detaillierten Leitfaden veröffentlicht, wie Menschen und Organisationen virtuelle private Netzwerke (VPN) wählen sollten, da sowohl Nationalstaaten als auch Cyberkriminelle ihre Ausnutzung der Tools inmitten einer globalen Verlagerung auf Remote-Arbeit und Schulbildung steigern.

Das neunseitige Factsheet enthält auch Details zur sicheren Bereitstellung eines VPN. Die NSA sagte in einer Erklärung, dass der Leitfaden auch für Führungskräfte des Verteidigungsministeriums, der Nationalen Sicherheitssysteme und der Verteidigungsindustrie hilfreich sein würde, damit sie „die mit VPNs verbundenen Risiken besser verstehen können“.

Laut NSA haben mehrere nationalstaatliche APT-Akteure gängige Schwachstellen und Offenlegungen zu Waffen gemacht, um Zugang zu anfälligen VPN-Geräten zu erhalten, die es ihnen ermöglichen, Anmeldeinformationen zu stehlen, Code aus der Ferne auszuführen, die Kryptographie des verschlüsselten Datenverkehrs zu schwächen, verschlüsselte Datenverkehrssitzungen zu kapern und sensible Daten von einem Gerät zu lesen.

NSA-Direktor Rob Joyce erzählt dem Aspen Cybersecurity Summit in dieser Woche, dass “mehrere nationalstaatliche Akteure CVEs nutzen, um anfällige virtuelle private Netzwerkgeräte zu kompromittieren”.

Er schrieb auf Twitter, dass VPN-Server Einstiegspunkte in geschützte Netzwerke sind, was sie zu attraktiven Zielen macht.

„APT-Akteure haben und werden VPNs ausnutzen – die neuesten Richtlinien von NSA und @CISAgov können dazu beitragen, Ihre Angriffsfläche zu verkleinern. Investieren Sie in Ihren eigenen Schutz!“ er fügte hinzu.

CISA-Direktorin Jen Easterly wiederholte Joyces Bemerkungen: teilen dieselbe Botschaft über die Ausbeutung durch den Nationalstaat.

Die Mitteilung enthielt eine Liste von „getesteten und validierten“ VPN-Produkten auf der Produktkonformen Liste der National Information Assurance Partnership, von denen viele eine Multi-Faktor-Authentifizierung verwenden und Patches und Updates umgehend anwenden.

Experten lobten CISA und die NSA für die Erstellung der Liste. Chester Wisniewski, leitender Forschungswissenschaftler bei Sophos, sagte gegenüber ZDNet, dass es zu lange keine vertrauenswürdige Stimme für VPNs gab, die kein berechtigtes Interesse daran hatten, Ihnen etwas zu verkaufen.

“Die Kombination des Wissens und der Erfahrung der NSA mit dem Auftrag des CISA, den US-Privatsektor zu schützen, versetzt sie in eine gute Position, um vertrauenswürdige Ratschläge zum Schutz vor kriminellen Akteuren zu geben”, sagte Wisniewski.

Er stellte fest, dass die Ratschläge weitgehend aus Vorschlägen stammen, die Verteidigungsunternehmen und ähnlichen Einrichtungen vorgelegt wurden.

“Es ist ein großartiger Ratschlag, aber für die meisten kommerziellen Unternehmen unglaublich kompliziert und mühsam. Nichts von dem, was gesagt wird, ist falsch, aber es erfordert viel Voraussicht und viel Prozess, um es einzuhalten”, fügte Wisniewski hinzu.

„Die meisten Organisationen sind nicht in der Lage, viele der Ratschläge zu befolgen. Es ist wirklich schwierig, VPNs richtig zu machen, wie in diesem Dokument gezeigt wird. Anstatt Ihre gesamte VPN-Strategie neu aufzubauen, um es auf die alte Art und Weise zu tun, können Sie genauso gut dieselbe Zeit/Ressourcen aufwenden, um Ihren Ansatz für den Fernzugriff zu modernisieren und die Vorteile zu nutzen, anstatt einfach den alten Weg zu stützen.”

Heather Paunet, Senior Vice President von Untangle, stellte fest, dass Cyberangriffe auf VPNs aufgrund potenzieller Lösegelder oder des Datenzugriffs sehr kostspielig sind, wie der Pulse Secure VPN-Exploit im April zeigt, der Regierungsbehörden und Unternehmen in den USA und Europa kompromittiert.

Während die Anfälligkeiten von VPNs aufgrund der stärkeren VPN-Nutzung in den letzten anderthalb Jahren zugenommen haben, entwickeln sich neuere VPN-Technologien mit neueren Arten von Kryptographie, um den Schutz der über das Internet übertragenen Informationen zu gewährleisten, sagte Paunet und merkte an, dass beliebte Tools wie WireGuard VPN, die Kryptographie verwenden.

“Was in den Richtlinien fehlt, ist die Berücksichtigung des menschlichen Elements. Neben der Einhaltung der strengen Richtlinien stehen IT-Experten auch vor der Herausforderung, die Mitarbeiter dazu zu bringen, die Technologie effektiv zu nutzen. Wenn das VPN zu schwierig zu bedienen ist oder Systeme verlangsamt, der Mitarbeiter wird es wahrscheinlich ausschalten”, sagte Paunet.

“Die Herausforderung für IT-Profis besteht darin, eine VPN-Lösung zu finden, die den Richtlinien entspricht, aber auch schnell und zuverlässig ist, damit Mitarbeiter sie einmal einschalten und vergessen.”

Archie Agarwal, CEO von ThreatModeler, stellte fest, dass eine schnelle Suche in der Suchmaschine Shodan allein in den USA über eine Million VPNs im Internet aufdeckt und so einen Zugang zu privaten sensiblen internen Netzwerken bietet, die der Welt ausgesetzt sind, damit jeder es versuchen kann durchbrechen.

„Diese stellen das alte Paradigma der Perimetersicherheit dar und haben es immer wieder versäumt, die innere Burg zu schützen. Wenn Zugangsdaten durchgesickert oder gestohlen oder neue Schwachstellen entdeckt werden, ist das Spiel verloren und die Burg fällt“, sagte Agarwal.

Continue Reading

Copyright © 2021 Meta Mag Inc.