挪威国家网络安全中心建议放弃 SSLVPN 和 WebVPN

阅读量32210

发布时间 : 2024-05-20 10:52:57

挪威国家网络安全中心 (NCSC) 发布了一项建议,建议各组织使用更安全的替代方案替换 SSLVPN 和 WebVPN 解决方案,因为过去多次利用边缘网络设备中的漏洞,导致攻击者能够破坏企业网络。

国家网络安全中心(NCSC)是挪威安全局的一个分支机构,作为挪威的主要联络机构,负责协调国家预防、检测和应对网络攻击的工作,并提供战略指导和技术支持,以加强网络安全国家网络安全总体态势。这包括进行风险评估、传播威胁情报以及在公共和私营部门推广最佳实践。

NCSC 的指南旨在通过倡导过渡到更强大、更安全的远程访问协议来增强组织(特别是关键基础设施部门内的组织)的安全态势。

用安全替代方案替代 SSLVPN 和 WebVPN
NCSC 的建议基于这样的认识:SSL VPN 和 WebVPN 虽然通过 SSL/TLS 协议通过互联网提供安全远程访问,但由于固有的漏洞而多次成为攻击目标。

这些解决方案创建了一个“加密隧道”来保护用户设备和VPN服务器之间的连接。然而,恶意行为者利用这些漏洞导致 NCSC 建议组织迁移到具有 Internet 密钥交换 (IKEv2) 的 Internet 协议安全 (IPsec)。

带有 IKEv2 的 IPsec 是 NCSC 推荐的安全远程访问替代方案。该协议使用定期刷新的密钥来加密和验证每个数据包。尽管承认没有任何协议完全没有缺陷,但 NCSC 认为,带有 IKEv2 的 IPsec 显着减少了安全远程访问事件的攻击面,特别是因为与 SSLVPN 相比,它对配置错误的容忍度较低。

NCSC 强调立即启动过渡进程的重要性。鼓励受《安全法》约束或被归类为关键基础设施的组织在 2024 年底之前完成过渡,并敦促所有其他组织在 2025 年之前完成过渡。

采用 IPsec 而非其他协议的建议并非挪威独有。包括美国和英国在内的其他国家也认可了类似的指导方针,强调了全球对 IPsec 与 IKEv2 提供的增强安全性的共识。

作为一项预防措施,NCSC 还建议在无法实施 IPsec 连接的地方使用移动或移动宽带 5G 作为替代方案。

建议遵循有关利用的早期通知
上个月,挪威国家网络安全中心发布了一份关于针对 SSLVPN 产品的针对性攻击活动的通知,其中攻击者利用了用于为关键基础设施供电的 Cisco ASA VPN 中的多个零日漏洞。该活动自 2023 年 11 月起就开始观察。

该通知主要针对关键基础设施企业,警告称,虽然该活动的进入向量未知,但至少存在一个或多个零日漏洞,可能允许外部攻击者在某些条件下绕过身份验证、入侵设备并授予自己管理权限特权。

该通知分享了几项防范攻击的建议,例如阻止对匿名服务(VPN 提供商和 Tor 出口节点)和 VPS 提供商等不安全基础设施的服务的访问。思科发布了重要的安全更新来解决这些漏洞。

先前的通知还建议企业从 SSLVPN/无客户端 VPN 产品类别切换到采用 IKEv2 的 IPsec,因为此类 VPN 产品中存在严重漏洞,无论 VPN 提供商如何。 NCSC 建议需要帮助的企业联系其所在部门的 CERT 或 MSSP。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/replacement-of-sslvpn-and-webvpn/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66