美国国家安全局(NSA)最近宣布了一系列关于企业使用VPN的预防措施和最佳实践指南。这些建议的发布主要是为了应对在家办公增加导致的企业在线攻击风险。
为什么NSA现在发布警告?
随着越来越多的人选择在家工作,企业面临着来自外部流量大幅增加的挑战。这使得网络安全管理变得更加复杂,出现了许多新问题。一些企业可能会将这种转变视为新的常态,像推特和脸书这样的科技巨头已经告诉员工可以无限期在家工作。
根据最近的一项研究,54%的人希望今后主要在家工作。虽然这意味着员工可以享受更短的通勤时间和更长的睡眠时间,但对于IT部门来说,这无疑是一个巨大的挑战。
NSA意识到了这一点,并积极向公众和企业发出关于在线威胁的警告。今年以来,NSA就曾就俄罗斯的邮件黑客事件和Windows 10漏洞发布声明。
NSA的VPN建议
NSA发布了两份文件,旨在帮助企业保护自己免受VPN相关攻击和泄露的影响。一份文件是建议摘要,另一份则是针对IT专家的实用配置指南。以下是NSA建议的五个要点:
不要依赖默认设置
这一点非常简单明了,但却常常被忽视。许多人在安装新技术(包括VPN)时,往往不会深入研究所有可能的设置选项,这使得他们的系统更加脆弱。
黑客通常对他们试图攻击的VPN软件非常了解,包括最容易进入的路径——在大多数情况下,这就是利用默认设置。NSA建议更改默认设置,避免使用向导或类似工具,以防止VPN平台被知情者利用。
保持VPN更新
确保软件保持最新是一个明智的建议,无论你是在运行VPN还是玩游戏。随着新漏洞的发现,旧版本的软件成为黑客攻击的焦点。
软件更新可能令人烦恼,但如果错过一次更新,可能会失去修复已知问题的关键补丁,从而暴露敏感的公司数据。
实施流量过滤规则
为了保护企业系统,重要的是严格控制谁可以访问这些系统,以及他们从何处访问。NSA建议对网络地址的端口、协议和IP地址实施严格的过滤规则。
如果企业无法限制到特定的IP地址,NSA建议在VPN网关前采用入侵防御系统(IPS)。
移除未使用或不合规的加密套件
某些VPN套件可能保留不合规的加密算法,这可能成为安全风险,因其可能被降级攻击利用。黑客可以迫使VPN接受过时的加密套件,从而使其暴露在恶意行为者面前。
NSA建议通过确保仅配置合规的ISAKMP/IKE和IPsec策略来消除这一风险,并定期检查只使用合规的策略,以防止因图形界面或用户错误而重新引入不合规策略。
验证仅使用CNSSP 15合规算法
CNSSP 15合规算法与政府机构用于保护自身系统的算法相同,因此它们非常强大。NSA认为,企业应当与政府机构一样受到保护,建议确保公司使用相同的标准。
你可以在NSA官网上查看完整建议,其中提供了两份指南——一份是执行摘要,另一份是配置指南。
为您的企业选择最佳VPN
即使在当前疫情之前,许多企业已经选择采用VPN软件,以帮助减轻全球员工不总是在办公室工作的风险。VPN允许员工通过安全连接安全访问公司环境,从而保护公司和用户的安全。
我们测试了多款VPN,并根据价值、速度和安全性进行了评分。在我们的测试中,PureVPN因其对安全的细致关注和易于使用的界面而成为最安全的选择。
优点:
- 易于使用的管理员控制面板
- 主动的入侵保护系统
- 24/7优先支持
缺点:
- 不是市场上最快的VPN
- NordLayer更便宜
如果您通过我们网站上的链接注册服务或进行购买,或使用我们的报价工具获取定制定价,我们可能会从您感兴趣的技术供应商那里获得推荐费用。这有助于Tech.co提供免费信息和评论,并不会对您产生额外费用。最重要的是,它不会影响我们的编辑公正性。Tech.co上的评分和排名不能被购买。我们的评论基于客观的研究分析。极少数例外情况将明确标记为“赞助”表列,或通过页面上的完整广告披露进行解释。
