ปีที่ผ่านมาเป็นเกมตีตัวตุ่นอย่างต่อเนื่องด้วยช่องโหว่ของ VPN ทําให้องค์กรที่ใช้ระบบการเข้าถึงระยะไกลที่ล้าสมัยเปิดกว้างสําหรับการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น แฮกเกอร์ใช้ประโยชน์จากข้อบกพร่องที่สําคัญในซอฟต์แวร์ในชีวิตประจําวัน ตั้งแต่ VPN เช่น Ivanti CVE ที่มีความรุนแรงสูงและเหตุการณ์ Fortinet FortiVPN ไปจนถึงไฟร์วอลล์ เช่น Palo Alto Networks PAN-OS และแอปพลิเคชันการส่งข้อความ เช่น Telegram ด้วยการอนุญาตให้ฝ่ายตรงข้ามควบคุมอุปกรณ์ได้อย่างสมบูรณ์ผ่านการเรียกใช้โค้ดจากระยะไกลหรือบล็อกการเข้าถึงอุปกรณ์ที่มีการโจมตีแบบปฏิเสธการให้บริการ (DoS) ช่องโหว่เหล่านี้ทําให้ข้อมูลที่มีค่าของคุณตกอยู่ในความเสี่ยง
ในเดือนธันวาคม 2023 แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐของจีนใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ (CVE-2023-46805 & CVE-2023-21887) ในผลิตภัณฑ์ Ivanti VPN ทําให้สามารถเข้าถึงโดยไม่ได้รับอนุญาตผ่านการบายพาสการตรวจสอบสิทธิ์และการควบคุมระยะไกลผ่านการแทรกคําสั่งระยะไกล ผู้โจมตีก็พบช่องโหว่ใหม่ (CVE-2024-21888) เพื่อเลี่ยงการแก้ไขและดําเนินกิจกรรมที่เป็นอันตรายต่อไป
ในเดือนกุมภาพันธ์นี้ สํานักงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ส่งเสียงเตือนเกี่ยวกับการโจมตี VPN อีกครั้ง คราวนี้เป้าหมายคืออุปกรณ์รักษาความปลอดภัย Cisco ASA ซึ่งรวมไฟร์วอลล์โปรแกรมป้องกันไวรัสการป้องกันการบุกรุกและความสามารถ VPN เสมือน ผู้กระทําผิด คือช่องโหว่ที่ทราบ (CVE-2020-3259) ที่ใช้ประโยชน์โดยกลุ่ม Akira ransomware ซึ่งโจมตีทั้งระบบ Windows และ Linux องค์กรอาชญากรรมไซเบอร์ใช้ประโยชน์จากการตั้งค่า WebVPN/AnyConnect ที่กําหนดค่าไม่ถูกต้องเพื่อขโมยข้อมูล
ช่องโหว่ล่าสุดนี้มาจาก Palo Alto Networks ซีโร่เดย์ที่สําคัญนี้ซึ่งติดตามเป็น CVE-2024-3400 ส่งผลกระทบต่อผลิตภัณฑ์ GlobalProtect VPN ของผู้จําหน่าย ช่องโหว่ด้านความปลอดภัยที่สําคัญที่พบใน Palo Alto Networks PAN-OS ช่วยให้ผู้โจมตีสามารถควบคุมได้อย่างเต็มที่ด้วยสิทธิ์รูทของไฟร์วอลล์และการเชื่อมต่อ VPN ที่อํานวยความสะดวก ทั้งหมดนี้โดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน พูดง่ายๆ ก็คือ ภัยคุกคามซีโร่เดย์นี้มีคะแนนความรุนแรงสูงสุดที่เป็นไปได้: 10 จาก 10
ในบทความการค้นพบเบื้องต้นที่เผยแพร่โดย Volexity การวิจัยพบว่าผู้โจมตีมุ่งเน้นไปที่การส่งออกข้อมูลการกําหนดค่าจากอุปกรณ์แล้วใช้ประโยชน์จากมันเป็นจุดเริ่มต้นในการเคลื่อนย้ายด้านข้างภายในองค์กรเป้าหมาย
การโจมตีซ้ํา ๆ เหล่านี้โดยใช้ช่องโหว่ซีโร่เดย์เน้นย้ําถึงแนวโน้มที่น่าเป็นห่วง: ปัญหาอยู่ที่สถาปัตยกรรมที่ล้าสมัยของ VPN เองไม่ใช่กับผู้ขายรายใดรายหนึ่ง
ทําไมเหตุการณ์เหล่านี้จึงเกิดขึ้น?
ในช่วงหลายปีที่ผ่านมาผลิตภัณฑ์ SSL VPN ตกเป็นเป้าหมายของผู้คุกคามที่หลากหลายทั้งอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินและนักแฮ็กติวิสต์ระดับรัฐชาติ คุณจะอธิบายปรากฏการณ์นี้ได้อย่างไร? คําตอบนั้นค่อนข้างง่าย: SSL VPN สามารถใช้เป็นจุดเริ่มต้นในการเข้าถึงขุมทรัพย์ของข้อมูลองค์กรที่มีค่า พวกเขาให้เส้นทางตรงเข้าสู่เครือข่ายของ บริษัท ทําให้พวกเขาเป็นพื้นที่จัดเตรียมที่มีค่าสําหรับการโจมตีเพิ่มเติม
การเพิ่มขึ้นของการทํางานระยะไกลหลังจากการระบาดใหญ่ของ COVID-19 ได้เปลี่ยน SSL VPN ให้กลายเป็นดาบสองคม ผู้โจมตีจึงสามารถใช้ประโยชน์จากความอ่อนแอของผู้ปฏิบัติงานระยะไกลต่อฟิชชิงและการโจมตีทางวิศวกรรมสังคมอื่นๆ
ช่องโหว่ล่าสุดของ VPN และไฟร์วอลล์ เช่น ข้อบกพร่องของ Palo Alto Networks GlobalProtect เน้นย้ําถึงแนวโน้มที่น่าเป็นห่วงอีกประการหนึ่ง นี่ไม่เกี่ยวกับการชี้นิ้วไปที่ผู้ขายรายใดรายหนึ่ง ค่อนข้างเกี่ยวกับข้อบกพร่องในการออกแบบพื้นฐานในเทคโนโลยีเหล่านี้ องค์กรจําเป็นต้องตระหนักว่าสินทรัพย์ที่เชื่อมต่อกับอินเทอร์เน็ต เช่น ไฟร์วอลล์และ VPN เป็นเป้าหมายหลักสําหรับการละเมิด เมื่อผู้โจมตีสามารถเข้าถึงได้สถาปัตยกรรมดั้งเดิมแบบดั้งเดิมช่วยให้พวกเขาเคลื่อนไหวได้อย่างอิสระภายในเครือข่ายขโมยข้อมูลที่ละเอียดอ่อนและประนีประนอมแอปพลิเคชันที่สําคัญ
สํานักงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) และศูนย์ความปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) ได้เผยแพร่คําแนะนําที่แนะนําให้องค์กรทุกขนาด โดยเฉพาะองค์กรในรัฐบาล ดําเนินการอย่างรวดเร็วเนื่องจากความรุนแรงของช่องโหว่ บทความเหล่านี้มีแหล่งข้อมูลเพิ่มเติมเพื่อช่วยในการแพตช์และจํากัดการเปิดเผยหากเป็นไปได้
การแก้ไขช่องโหว่ยังคงมีความสําคัญ แต่สําหรับการป้องกันเชิงรุกอย่างแท้จริงจากการโจมตีซีโร่เดย์สถาปัตยกรรม Zero Trust มอบข้อได้เปรียบที่สําคัญที่สุด
มีขั้นตอนพื้นฐานหลายประการที่จะช่วยจํากัดการสัมผัส:
- ลดจุดโจมตี: ทําให้แอปพลิเคชันที่สําคัญและ VPN ที่มีช่องโหว่มองไม่เห็นทางออนไลน์เพื่อป้องกันการละเมิดครั้งแรก
- จํากัดการละเมิด: เชื่อมต่อผู้ใช้โดยตรงกับแอปพลิเคชันเพื่อลดความเสียหายจากระบบที่ถูกบุกรุก
- หยุดภัยคุกคามที่ประตู: ตรวจสอบการรับส่งข้อมูลทั้งหมดอย่างต่อเนื่องเพื่อบล็อกภัยคุกคามที่เกิดขึ้นใหม่โดยอัตโนมัติ
- จํากัดสิทธิ์การเข้าถึง: ให้สิทธิ์การเข้าถึงแก่ผู้ใช้เท่านั้นเพื่อป้องกันการกระทําที่ไม่ได้รับอนุญาต
"Zero Trust" กลายเป็นคําศัพท์ในพื้นที่ความปลอดภัย แต่เมื่อทําถูกต้อง ก็เป็นแนวทางที่มีคุณค่าอย่างแท้จริง ด้วยการใช้หลักการ Zero Trust และสถาปัตยกรรมพื้นฐาน บริษัทต่างๆ สามารถจัดการกับความเสี่ยงด้านความปลอดภัยที่รบกวนเครือข่ายแบบเดิมได้อย่างมีประสิทธิภาพ รวมถึงความเสี่ยงร้ายแรงจากช่องโหว่ในไฟร์วอลล์และผลิตภัณฑ์ VPN
หากคุณสามารถลดการพึ่งพา VPN และลดความเสี่ยงที่จะถูกเปิดเผยอีกครั้งโดยช่องโหว่อื่นทําไมไม่สํารวจตัวเลือกนั้นล่ะ? Zero Trust ทิ้งกฎเก่า ซึ่งแตกต่างจากเครือข่ายแบบดั้งเดิมที่รักษาความปลอดภัยโดยไฟร์วอลล์และ VPN Zero Trust ไม่ได้พึ่งพา "โซนที่เชื่อถือได้" ส่วนกลาง แต่จะสร้างการเชื่อมต่อที่ปลอดภัยโดยตรงระหว่างผู้ใช้และทรัพยากรเฉพาะที่พวกเขาต้องการ สิ่งนี้นอกเหนือไปจากผู้ใช้และแอปพลิเคชัน Zero Trust สามารถเชื่อมต่อปริมาณงาน สํานักงานสาขา พนักงานระยะไกล หรือแม้แต่ระบบควบคุมอุตสาหกรรม
Skyhigh Security เปิดใช้งานสิ่งนี้โดยอํานวยความสะดวก ในการเชื่อมต่อที่ปลอดภัยกับแอปพลิเคชันที่ได้รับอนุญาต แทนที่จะนําผู้ใช้หรืออุปกรณ์ที่ร้องขอไปยังเครือข่ายขององค์กร ผู้ใช้ อุปกรณ์ และการเชื่อมต่อทุกคนจะได้รับการตรวจสอบอย่างต่อเนื่องก่อนที่จะให้สิทธิ์การเข้าถึงทรัพยากรที่ละเอียดอ่อน ความไว้วางใจจะไม่ได้รับโดยค่าเริ่มต้น เพื่อให้มั่นใจถึงความปลอดภัยและความสมบูรณ์ของข้อมูลตลอดเวลาโดยไม่กระทบต่อความพร้อมใช้งานหรือประสิทธิภาพสําหรับผู้ใช้ของคุณ
ถึงเวลาแล้วที่ผู้นําด้านความปลอดภัยจะต้องยอมรับ Zero Trust วิธีการบนคลาวด์นี้ลดขนาดพื้นผิวการโจมตีโดยกําจัดช่องโหว่ที่เกี่ยวข้องกับไฟร์วอลล์ VPN และเทคโนโลยีดั้งเดิมอื่นๆ ด้วยการปฏิเสธจุดเริ่มต้นตามปกติของผู้โจมตี Zero Trust จะสร้างการป้องกันที่แข็งแกร่งขึ้นและท่าทางการรักษาความปลอดภัยที่แข็งแกร่งยิ่งขึ้น
อ้าง อิง: