top of page
  • 作家相片Jerry Ho / SOC資安工程師

VPN使用者必知:當心安全通道成為駭客走私管道!


VPN使用者必知:當心安全通道成為駭客走私管道!

你以為穿了隱形斗篷就不會留下足跡

2019 年 COVID-19 (新冠肺炎) 的出現改變了全世界人們的生活模式,其中尤其對於工作方式影響最大。企業為了讓員工在不受疫情影響下繼續工作、讓企業持續營運,出現了遠端、居家這樣的工作模式。然而要如何才能在家裡工作的時候仍然能存取公司內部的資源與系統,並同時更進一步兼顧到資訊安全,確實讓很多未曾思考過這個問題或不具備相關應用經驗的企業傷透腦筋。假如為了追求方便而開放了不安全的遠端存取方式或設定不當,不僅會製造出可供駭客入侵攻擊的機會,有些甚至是直接為駭客敞開大門而致使公司機敏資料外洩、被勒索,影響公司聲譽、癱瘓正常營運 … 等資安事故頻頻發生。


VPN:保護遠距工作的安全通道

VPN(Virtual Private Network) 即為「虛擬私人網路」,是指在現有的網路上透過使用隧道協定建立一個虛擬的點對點連線,其運作原理為:端點 (如筆電、行動裝置) 使用安裝的 VPN 軟體,在經過驗證後與提供 VPN 服務的伺服器建立 VPN 隧道,接著使用者便能透過建立的通道及 VPN 伺服器進行網路連線。在前述情況下,使用者與 VPN 伺服器間的流量會被加密,無法被第三方竊聽或進行內容竄改,再者,透過 VPN 伺服器進行上網也讓使用者隱藏了自己的真實 IP。


因而在疫情期間這樣一個特別的時空背景及生活工作模式下,VPN技術更成為了很多企業遠距工作應用上的首選,並且被實際應用在以下的情境:


  1. 企業遠距辦公: 透過與企業內部建立的 VPN 伺服器連線並通過身份驗證,輔以 VPN 本就具備的安全技術,只要在有網路的地方,使用者便可以安全又輕鬆的存取公司內部資源,這也使得 VPN 在疫情期間使用量大幅增加。

  2. 保護線上活動隱私: 在使用 VPN 與 VPN 伺服器建立連線後,其中一個特性就是你的連線來源 IP 會變更為 VPN 伺服器 IP,讓 VPN 伺服器 “代理” 你進行後續網路連線,如果想透過網路連線紀錄來追蹤你真實的來源 IP、地理位置 … 等資訊將會變得很困難,藉由 VPN 應用便可以幫助我們隱藏我們的真實網路足跡。 相信一定有讀者曾有過:”如果我用 VPN 進行網路活動不會被別人追查到的話,我是不是可以用來 … ” 這樣的想法,但有句話是:”理想很豐滿,現實很骨感”,後面我們將用生活中發生的真實案例來告訴大家,這樣一個對於 VPN 的期望是否真的如大家所想的這麼簡單可行。

  3. 越過地理限制,取得地區限定的服務 很多軟體、網路服務商都有因授權、版權或自身服務限制,有限定特定地理區域才能享有的的優惠、服務,譬如很多串流影音平台有當地才可以觀看的影集,聊天軟體有當地才能下載購買的貼圖,甚至觀看運運動賽事也有這樣的限制。透過選擇特定區域 VPN 伺服器與之建立連線後,使用者後續連線來源 IP 變更,便有機會可以存取區域限定的服務及內容。

  4. 公共區域上網隱私及安全 網路的發達讓大家走到哪裡都有免費的無線網路可以連線使用,舉凡公共場所:咖啡廳、飯店、機場 … 等,駭客自然也不會放過這廣泛、便利性背後能利用的機會,透過架設偽冒正當來源的無線網路訊號或攻擊資安防禦能量不足的無線網路設備,再進一步竊取連線使用者機敏資訊是很常見的攻擊手法,你能確保連上的公共無線網路真的安全嗎?不過若你在連上公共無線網路的同時,再應用上 VPN,即使駭客攔截了你的網路連線流量,也會因為 VPN 加密技術而白忙一場。

  5. 突破區域網路封鎖存取被限制的內容 舉一個大家耳熟能詳的例子,中國憑藉著其 ”防火長城” ( The Great Firewall ),對於其境內網路能對外存取的網站類別有著極為嚴密的監管,因此造就了 “翻牆” 這個有趣的詞,指的便是利用有著加密連線技術,如:VPN,來規避中國長城的偵測、突破封鎖,造訪原本無法訪問的網站。然而中國官方也從很早就開始進行主動偵測,針對加密連線、可用於翻牆之伺服器 … 等進行封鎖,因此未來想要透過 VPN 等非官方許可的管道對外連線相信會越來越困難。

當心 VPN 成為駭客侵入的管道

駭客的攻擊目標多半會優先選擇普及程度高、可重複攻擊利用或具有高價值的系統,駭客當然不會放過在疫情期間使用大幅增加的 VPN 這個機會。使用 VPN 既無法被追查來源、網路流量又有額外加密保護,看似很安全但實則潛在著很多資安風險是大家所沒有想到的,尤其在使用單位沒有做好管理維護,致使VPN的安全特性被駭客犯罪份子「反向利用」時,往往對於企業造成「致災性」的嚴重傷害。以下就我們在資安服務及事件處理的經驗中最常發生的案例情況,其中很多肇因的起始還是在使用者的觀念與心態,提供各位朋友參考:


1. 免費的VPN

有道是:免錢的最貴,打著免費 VPN 服務旗號的背後或多或少還是會想辦法藉此牟利,因此就有不肖業者,透過販售紀錄下來的使用者網路活動資料給廣告商或第三方,或者將自身服務與廣告商的廣告綁定來從中獲利,若廣告含有惡意軟體也會讓使用者被攻擊;再者,駭客最常利用的就是人貪小便宜的心態,這之中自然有打著免費 VPN 服務旗號,實為藉此散播惡意軟體,以達成其後續攻擊目的,因此在免費 VPN 的選擇及使用上還是要多加留意。或許你會想到,改採用開源VPN軟體來自行架設也是免費呀,此時就會進到下一個案例: 欠缺關心的VPN。


2. 欠缺關心的VPN

企業不論是自己架設VPN 或是選擇VPN 服務提供業者,基本上都必須正視VPN本身存在的漏洞或防護破口,否則就會遭到駭客利用入侵而造成資安危害。由於多數企業在使用VPN的過程中,並未能意識到VPN也是需要關心其本身的安全管理,比如:

  • 「漏洞利用」是最主要的,包括VPN的中央端(軟體或硬體)、VPN的終端(電腦主機、手機、瀏覽器)、或是VPN的網路通訊層(加密方式、加密強度)等都曾經發生過漏洞問題危害資安,定期關注 VPN 業者相關新聞資訊,及早察覺有無漏洞跟對應修補,盡快進行必要的更新。

  • 「安全設定管理」是另一個容易引發安全缺陷的因素,包括VPN使用者的登入身份驗證、密碼強度、登入稽核紀錄等。套用高強度的密碼,並搭配2FA或MFA多因子驗證機制,仍是非常有效用的方法,能防止使用者帳戶被非法盜用;透過登入稽核紀錄則有助於觀察是否有使用者帳號的異常登入或異樣的存取行為。


3. 放任使用的VPN

在許多入侵的事件中,因為VPN沒有管制而造成資安事件的比率是最高的一種情況(另一種則是遠端桌面控制,例如RDP或TeamViewer之類)。由於VPN是提供企業「外部連結到內部」的管道,因此在沒有做好管制之下,就容易發生外面的人可以連進到內部、內部的資料可以傳出去的機會,換言之,企業在提供VPN使用之下也需要做好基本必要的管制措施,以避免遭受非法入侵風險及資料外洩風險,尤其是以下列2種情況是絕對要避免的:

  • 共用帳號密碼 有為數不少的企業單位VPN服務都存在「共用帳號密碼」的情況,多半是為了使用方便性或節省費用等因素而採取的做法,但是不論何種方式的共用帳號密碼都將存在無法有效識別使用者身份跟存取行為的風險,也都會造成非法使用的資安威脅問題。

  • 直通內網不設防 簡言之就是VPN使用者連進到企業內部網路是「打通的」,當使用者透過VPN連線到企業內部時沒有做好網段區隔或安全存取控制,而導致VPN使用者所在的IP網段能夠直接進到企業內網的辦公區段或機房區域(Server Farm)。發生這類情形的因素常見為:避免VPN使用者在遠端工作上遭遇存取上的麻煩,或是企業資訊人員對於網路概念不熟悉而導致。


4. 已遭污染的VPN環境

許多人錯誤認為VPN就是現代的安全保障,遠端工作只要利用VPN的安全通道連線與資料加密傳送,或者認為「只要加密就不用擔心資安問題跟資料外洩的問題」,但是卻忽略已經遭受污染的環境將會透過VPN造成的災害!所謂遭受污染的環境,最常見的就是VPN使用者的工作環境比如:個人電腦、筆記電腦、平板電腦等端點裝置已經受到惡意程式病毒的感染,以居家工作環境的安全防護肯定不及在公司,因此VPN使用者必須確保工作的端點裝置安全保護。」


5. 非法使用的個人VPN

個人用的VPN服務(像是Surfshark、Nordvpn等)在近幾年為了跨區追劇、遊戲、消費等需求而來越來越普遍,不過當個人用VPN進入到企業內部的情況不僅造成企業生產力問題,也造成更多的資安風險問題。


根據Palo Alto Networks 的研究報告指出,個人用VPN為企業的資安問題包括:


隱蔽的上網行為:使用假的自簽憑證、發送假冒HTTP或模仿常見通訊協定來規避防火牆及資安設備偵測,這些都實質上隱蔽了VPN使用背後的真實活動行為,大大降低了企業整體網路安全的可視性。


被利用的穿透跳板:以近期活躍的駭客組織Flax Typhoon為例,即是利用了SoftEther VPN這個合法開源 VPN 工具來隱蔽駭客活動,使遭受入侵的受駭系統能夠在VPN掩護下自動連接到駭客控制的惡意中繼站C&C (Command & Control),不僅達到規避的效果甚至能夠維持攻擊持久性。此外,駭客犯罪組織也會釋出「加料的VPN服務」來誘惑個人用戶下載使用,達成合法侵入企業內網的目的。


讓VPN發揮安全效果的保護之道

VPN使用的監管與維護

不論企業選擇採用免費開源或付費商用的VPN方案,資安團隊都強烈建議企業應當對於使用的軟體定期做盤查,尤其是本篇提到的 VPN 軟體更該嚴加控管,並且避免採用開源或免費的VPN軟體及服務,因為一但出現可以規避資安防護檢測的 VPN 軟體,就很難確切知道其背後真正進行的行為及活動,使防護產生破口、增加攻擊面。

此外,企業對於VPN使用必須要制定VPN使用的管理政策跟稽查做法,包括限定允許的VPN版本、使用者的帳號密碼管理、結合2FA/MFA的身份驗證、可存取的網路跟系統資源必須加以控制,這都是能避免企業在使用VPN之時造成安全風險的做法。最好能有VPN的系統紀錄及使用者登入存取紀錄,不僅有助於當出現資安事件之時得以調查分析,甚至能及早發覺異常行徑以揪出潛伏的攻擊行為。


做好端點防護的效益最高

企業約有80%的資安問題都源自端點裝置,尤其是工作環境使用的個人電腦及服務伺服器,因此從疫情期間開始至今,各種以個人使用者為目標的釣魚社交攻擊不斷增加,駭客看準的就是「端點為企業安防的脆弱點」,因此做好端點防護的效益是最快速有效。

從駭客組織Flax Typhoon 的攻擊手法中我們可以知道,應用一個合法 VPN 軟體於攻擊中可以有多大的破壞力,而企業的防護在點 (端點)與線 (網路) 之間缺一不可,當遇到這樣有能力規避企業網路安全可視性攻擊時,WIZON 獨家創新推出的資安即服務方案,在端點防護措施,能從日誌監控分析、資訊安全事件監控及回應、端點主動式監控防禦 … 等多個面向,協助企業應對各種攻擊情境,幫助企業用戶減少資安風險並保護企業的核心業務。

Comments


bottom of page