信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

根據(jù)Zscaler的一份新報(bào)告，九成企業(yè)擔(dān)心VPN帶來的數(shù)據(jù)泄漏風(fēng)險(xiǎn)，由于網(wǎng)絡(luò)犯罪分子利用VPN漏洞的威脅日益增加，企業(yè)需要重新評估安全態(tài)勢并盡快遷移到零信任架構(gòu)。

九成企業(yè)意識到零信任的重要性

報(bào)告顯示，超過九成（92%）的受訪者已經(jīng)認(rèn)識到采用零信任網(wǎng)絡(luò)訪問架構(gòu)（ZTNA）的重要性，但令人擔(dān)憂的是，許多企業(yè)仍在使用VPN進(jìn)行遠(yuǎn)程辦公和第三方訪問，為攻擊者提供了大量可利用的攻擊面。

“傳統(tǒng)防火墻和VPN供應(yīng)商正在云中構(gòu)建虛擬VPN，在營銷中故意弱化或者隱藏VPN一詞，冒充零信任解決方案。企業(yè)客戶在選購時需要提出正確的問題，確保不會舊瓶裝新酒的云端虛擬化產(chǎn)品產(chǎn)生錯誤的安全感。”報(bào)告指出：“為了防范不斷演變的勒索軟件攻擊，企業(yè)需要盡快淘汰VPN的使用，優(yōu)先考慮用戶到應(yīng)用程序的分段，并實(shí)施具有完整TLS檢查的內(nèi)聯(lián)上下文數(shù)據(jù)丟失防護(hù)引擎。”

三分之一勒索軟件攻擊選擇VPN作為入口

近九成（88%）企業(yè)對VPN漏洞造成的潛在數(shù)據(jù)泄漏深表擔(dān)憂。具體而言，經(jīng)常使用VPN的企業(yè)最擔(dān)心的威脅是網(wǎng)絡(luò)釣魚攻擊(49%)和勒索軟件攻擊(40%)。

近一半的受訪企業(yè)表示，他們已成為網(wǎng)絡(luò)攻擊者的目標(biāo)，這些攻擊者利用了VPN的過時協(xié)議或數(shù)據(jù)泄露漏洞，其中五分之一的企業(yè)在過去一年中遭受過此類攻擊。

尤其是勒索軟件，已成為企業(yè)安全的主要威脅之一，去年有33%的勒索軟件攻擊選擇VPN作為入口。

九成企業(yè)擔(dān)心第三方風(fēng)險(xiǎn)

盡管采取了各種嚴(yán)格的安全措施，但研究表明，90%的企業(yè)仍然高度擔(dān)心第三方供應(yīng)商被攻擊者利用來獲得對其網(wǎng)絡(luò)的間接后門訪問。

由于第三方采用不同的安全標(biāo)準(zhǔn)、缺乏對其網(wǎng)絡(luò)安全實(shí)踐的可見性以及管理外部第三方訪問的復(fù)雜性，承包商和供應(yīng)商等外部用戶對企業(yè)構(gòu)成的風(fēng)險(xiǎn)正在累積。

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)通過網(wǎng)絡(luò)訪問控制來管理對內(nèi)部應(yīng)用程序的訪問，這意味著訪問者只需要在訪問點(diǎn)確認(rèn)其憑據(jù)，而這些憑據(jù)一旦被盜，就會出現(xiàn)問題。

通過零信任方法，用戶可以直接連接到所需應(yīng)用程序和資源，而無需連接到網(wǎng)絡(luò)。用戶到應(yīng)用程序和應(yīng)用程序到應(yīng)用程序的“直接連接”消除了橫向移動的風(fēng)險(xiǎn)，并可防止受感染的設(shè)備感染其他資源。此外，在零信任訪問架構(gòu)中，用戶和應(yīng)用程序?qū)ヂ?lián)網(wǎng)來說是不可見的，因此不會被發(fā)現(xiàn)或受到攻擊。

七成企業(yè)計(jì)劃轉(zhuǎn)向零信任

除了安全問題之外，超過七成（72%）企業(yè)用戶對其VPN的體驗(yàn)不滿意，因?yàn)閂PN連接緩慢且不可靠。25%的用戶因應(yīng)用程序速度緩慢而感到沮喪，而21%的人則面臨頻繁的連接中斷。

不可靠的互聯(lián)網(wǎng)連接意味著糟糕的用戶體驗(yàn)，導(dǎo)致用戶沮喪并降低用戶參與度。

此外，身份驗(yàn)證的復(fù)雜性和摩擦可能會導(dǎo)致生產(chǎn)力下降、收入減少，并增加用戶繞過低效VPN服務(wù)而產(chǎn)生的數(shù)據(jù)丟失風(fēng)險(xiǎn)。

越來越多的企業(yè)已經(jīng)意識到VPN對網(wǎng)絡(luò)安全、用戶體驗(yàn)和業(yè)務(wù)摩擦的負(fù)面影響，開始轉(zhuǎn)向零信任架構(gòu)。

事實(shí)上，高達(dá)92%的受訪者已經(jīng)認(rèn)識到采用零信任方法來保護(hù)其資產(chǎn)和數(shù)據(jù)的重要性，同比增長了12%，近七成（69%）的受訪者已處于用零信任網(wǎng)絡(luò)訪問替換當(dāng)前VPN解決方案的規(guī)劃階段。