挪威国家网络安全中心建议放弃 SSLVPN 和 WebVPN

挪威国家网络安全中心 (NCSC) 发布了一项建议，建议各组织使用更安全的替代方案替换 SSLVPN 和 WebVPN 解决方案，因为过去多次利用边缘网络设备中的漏洞，导致攻击者能够破坏企业网络。

国家网络安全中心（NCSC）是挪威安全局的一个分支机构，作为挪威的主要联络机构，负责协调国家预防、检测和应对网络攻击的工作，并提供战略指导和技术支持，以加强网络安全国家网络安全总体态势。这包括进行风险评估、传播威胁情报以及在公共和私营部门推广最佳实践。

NCSC 的指南旨在通过倡导过渡到更强大、更安全的远程访问协议来增强组织（特别是关键基础设施部门内的组织）的安全态势。

用安全替代方案替代 SSLVPN 和 WebVPN
NCSC 的建议基于这样的认识：SSL VPN 和 WebVPN 虽然通过 SSL/TLS 协议通过互联网提供安全远程访问，但由于固有的漏洞而多次成为攻击目标。

这些解决方案创建了一个“加密隧道”来保护用户设备和VPN服务器之间的连接。然而，恶意行为者利用这些漏洞导致 NCSC 建议组织迁移到具有 Internet 密钥交换 (IKEv2) 的 Internet 协议安全 (IPsec)。

带有 IKEv2 的 IPsec 是 NCSC 推荐的安全远程访问替代方案。该协议使用定期刷新的密钥来加密和验证每个数据包。尽管承认没有任何协议完全没有缺陷，但 NCSC 认为，带有 IKEv2 的 IPsec 显着减少了安全远程访问事件的攻击面，特别是因为与 SSLVPN 相比，它对配置错误的容忍度较低。

NCSC 强调立即启动过渡进程的重要性。鼓励受《安全法》约束或被归类为关键基础设施的组织在 2024 年底之前完成过渡，并敦促所有其他组织在 2025 年之前完成过渡。

采用 IPsec 而非其他协议的建议并非挪威独有。包括美国和英国在内的其他国家也认可了类似的指导方针，强调了全球对 IPsec 与 IKEv2 提供的增强安全性的共识。

作为一项预防措施，NCSC 还建议在无法实施 IPsec 连接的地方使用移动或移动宽带 5G 作为替代方案。

建议遵循有关利用的早期通知
上个月，挪威国家网络安全中心发布了一份关于针对 SSLVPN 产品的针对性攻击活动的通知，其中攻击者利用了用于为关键基础设施供电的 Cisco ASA VPN 中的多个零日漏洞。该活动自 2023 年 11 月起就开始观察。

该通知主要针对关键基础设施企业，警告称，虽然该活动的进入向量未知，但至少存在一个或多个零日漏洞，可能允许外部攻击者在某些条件下绕过身份验证、入侵设备并授予自己管理权限特权。

该通知分享了几项防范攻击的建议，例如阻止对匿名服务（VPN 提供商和 Tor 出口节点）和 VPS 提供商等不安全基础设施的服务的访问。思科发布了重要的安全更新来解决这些漏洞。

先前的通知还建议企业从 SSLVPN/无客户端 VPN 产品类别切换到采用 IKEv2 的 IPsec，因为此类 VPN 产品中存在严重漏洞，无论 VPN 提供商如何。 NCSC 建议需要帮助的企业联系其所在部门的 CERT 或 MSSP。