خطرات استفاده از VPN در سیستم خانگی

» خطرات استفاده از VPN در سیستم خانگی

به گفته یکی از متخصصان امنیت: من این حق را دارم که در طول سه دهه گذشته شاهد تصمیم گیری های مختلفی در مورد معماری ، سیاست ها ، پیاده سازی ها و فناوری های مختلف باشم. برخی از تصمیمات متخصصان فناوری اطلاعات و امنیت نوآورانه ، ایمن و حتی برجسته هستند ، در حالی که برخی دیگر کاملاً دارای ارزش و لاین هستند و با خطر بالقوه مواجه هستند. یک تصمیم امنیتی که من دیده ام اجازه نصب نرم افزار شبکه خصوصی مجازی (VPN) سازمان شما برای دسترسی از راه دور روی رایانه خانگی یک کارمند است.

 در حالی که ممکن است برخی از متخصصان امنیت این امر را به عنوان یک روش قابل قبول تصور کنند ، اما این سیاست با یک بردار حمله نامطلوب هنگام اجازه دسترسی به محیط شما ، در معرض خطر است. به عنوان مثال موارد زیر را در نظر بگیرید:


 دفاع از بدافزار پایین


 کاربران خانگی معمولاً برای رایانه های شخصی خود سرپرست محلی هستند. آنها به ندرت برای استفاده روزانه حسابهای کاربری استاندارد ایجاد می کنند. این امر باعث می شود آنها نسبت به بدافزارهایی که می توانند از آنها استفاده کنند حساس تر شوند. برای این منظور ، اکثریت قریب به اتفاق بدافزارها برای آلوده کردن یک سیستم به حقوق اداری احتیاج دارند و کاربران خانگی معمولاً هیچ محدودیتی در دسترسی آنها برای واقعیت ساده راحتی ندارند. هرچه سیستم عامل رایانه خانگی قدیمی تر باشد ، سیستم عامل در دفاع از بدافزارها که به بهره‌برداری از سیستم نیاز به حقوق اداری دارند ، بدتر است.


 چند کاربر


 اگر یک رایانه شخصی در بین اعضای خانواده های مختلف حتی با پروفایل های متعدد کاربر به اشتراک گذاشته شود ، برای جلوگیری از آلودگی یا قضاوت ضعیف یک فرد از آلوده شدن دیگران ، به طور بسیار اندکی کاهش می یابد. علاوه بر این ، تکنیک هایی مانند تعویض سریع کاربر با نگه داشتن پروفایل های دیگر در حافظه ، باعث ایجاد حساسیت به انواع حملات بر اساس سایر پروفایل های فعال می شوند. سازش یک کاربر که اصلاً به سازمان مربوط نمی شود می تواند در برابر یک جلسه فعال VPN متصل به سازمان استفاده شود.


 عدم اقتدار


 سازمان ها صلاحیت مدیریت رایانه خانگی شخصی را ندارند. در حالی که راه حل های کنترل دسترسی به شبکه می توانند نسخه های امضای آنتی ویروس و سایر مشخصات اصلی سخت افزار را تأیید کنند ، آنها نمی توانند یک کامپیوتر خانگی را برای اطمینان از سخت شدن و نگهداری آن مانند دارایی شرکت ، امن کنند. این شکاف ها ، حتی در هنگام اتصال به هاست پایه ، می توانند اجازه نشت داده ها را از طریق ورود به سیستم keystroke و بدافزار ضبط صفحه نمایش دهند که می توانند داده ها و سازمان را در معرض خطر قرار دهند.


 عدم توانایی در امنیت میزبان


 راه حل های VPN شرکتی به منظور اعتبارسنجی اتصال ، معمولاً یک گواهی را به یک اتصال یا پروفایل کاربر تعبیه می کنند. این مستقل از احراز هویتی است که کاربر باید از طریق آن اعتبار تأمین کند و امیدوارم نوعی از احراز هویت دو عاملی برای ایجاد ارتباط باشد. امنیت گواهینامه و مدارک معتبر برای تأیید اعتبار فقط به اندازه امنیتی که برای دارایی اجرا شده است ایمن است. اینها یک هدف اصلی برای یک بازیگر تهدید در یک میزبان ضعیف برای شروع اتصالات خود یا جلسات ربودن است که توسط کارمندان از راه دور استفاده می شود. اگر نمی توانید میزبان را ایمن کنید ، چگونه می توانید نرم افزار اتصال مورد نظر خود را ایمن کنید؟


 کمبود منابع محافظ


 و در آخر اینکه ، کاربران خانگی معمولاً فقط آنتی ویروس را در رایانه های خود دارند. آنها معمولاً دارای نقطه انتهایی ، تشخیص و پاسخ (EDR) یا مدیریت امتیازات نهایی (EPM) نیستند ، و همچنین راه حل های آسیب پذیری یا مدیریت پچ برای اطمینان از صحت و اطمینان دارایی دارایی های خود و بالا بردن هرگونه تهدید برای آگاهی را ندارند. کاربران خانگی معمولاً به عنوان ایستگاه های کاری مستقل و بدون نظارت از طرف متخصصین امنیتی عمل می کنند تا وقتی چیزی خراب است ، پاسخ دهند.


 حتی با وجود همه این عناصر ، برخی سازمانها ریسک نرم افزار VPN را در مورد منابع که توسط سازمان نگهداری نمی شوند ، پذیرفته اند. آنها به منظور محافظت از برنامه ها و داده های حساس ، زیرساخت های دسکتاپ مجازی (VDI) بسیار امن و میزبان های سنگر(پایه ای) را برای دسترسی به پروکسی (یا دروازه) توسعه داده اند. آنها شبکه ها و منابع جدا شده ای را در ابر ایجاد کرده اند تا بتوانند این اتصالات را مدیریت کنند و در بسیاری از موارد ، ده ها هزار دلار هزینه مجوز را صرفاً در جهت ذخیره منابع در یک استراتژی شبکه دفاعی برای کاهش این خطرات پرداخت کرده اند. در بسیاری موارد ، آنها مؤثر هستند ، اما من معتقدم که همه آنها به این نرم افزار اجازه می دهند که نرم افزار VPN سازمان را روی دارایی های غیرقابل اطمینان که توسط کاربران خانگی نگهداری می شود ، بگذارد.


 تصمیم اولیه برای اجازه دادن به نرم افزار VPN در سیستم های خانگی باید مجددا مورد تجدید نظر قرار بگیرد و مشاغل باید روش های دیگری را برای اجازه دسترسی از راه دور با ریسک های پایین تر در نظر بگیرند:


 • دارایی های متعلق به شرکت هایی را مرجوع کنید که استفاده از آن سخت شده و موفق به ایجاد اتصال نمی شوند.


 • راه حل دسترسی از راه دور شخص ثالث را که نیازی به یک محیط پیچیده برای تأمین اتصال ندارد ، مجوز دهید که می تواند بدون نیاز به نرم افزار VPN ، برنامه های اختصاصی یا تنظیم پروتکل ، اتصال را از طریق یک مرورگر وب انجام دهد.


 • اگر کارکنانی که به دسترسی از راه دور نیاز دارند ، دارای رایانه های رومیزی سنتی هستند ، در نظر بگیرید آنها را با ایستگاه های docking جایگزین کنید. در دفتر ، یک لپ تاپ به عنوان یک میز کار معمولی ، از جمله داشتن مانیتورهای بزرگ ، کار می کند ، اما در صورت نیاز در خانه ، می تواند به عنوان یک سیستم اداره شده سفر کند ، این خطر را به حداقل می رساند.


 • به کارمندان اجازه ندهید از راه دور کار کنند. این به همان اندازه که به نظر می رسد واضح نیست. شرکتهایی مانند یاهو به کلیه کارمندان را موظف کردند که در هنگام بازسازی خود به اداره بیایند و حتی برخی دولت ها طبق قانون نیاز دارند که کارمندان نتوانند بعد از ساعتها کار خود را به خانه برسانند تا از سوء استفاده در کار جلوگیری کنند. اگرچه بحث برانگیز است ، این امر ممکن است باعث شود خستگی کمتر کارکنان ، تعادل زندگی کار و امنیت عمومی بهتر با حفظ محیط دقیق تر تعریف شود.


 فاکتورهای زیادی در هنگام بررسی اینکه آیا به کاربران خانگی اجازه می دهند از طریق رایانه های شخصی خود اجازه دسترسی به VPN را داشته باشند ، بررسی می شوند. برای من جای تعجب است که بسیاری از محیط ها اجازه این عمل را می دهند وقتی که در بسیاری موارد هزینه یک تبلت که توسط شرکت مدیریت می شود می توانند تجربه ای امن تر در مقایسه با هزینه های زمان اجرای یک میزبان سنگر و محیط VDI ارائه دهند. انتخاب واقعاً مورد نظر شماست ، اما از نظر این متخصص امنیتی ، این یک روش فناوری است که هرگز در وهله اول مجاز نبوده است.

آخرین مطالب این وبلاگ