美國國家安全局(NSA)最近宣布了一系列關於企業使用VPN的預防措施和最佳實踐指南。這些建議的發布主要是為了應對在家工作增加導致的企業在線上攻擊風險。
為什麼NSA現在發布警告?
隨著越來越多的人選擇在家工作,企業面臨外部流量大幅增加的挑戰。這使得網路安全管理變得更加複雜,出現了許多新問題。一些企業可能會將這種轉變視為新的常態,像推特和臉書這樣的科技巨頭已經告訴員工可以無限期地在家工作。
根據最近的一項研究,54%的人希望今後主要在家工作。雖然這意味著員工可以享受更短的通勤時間和更長的睡眠時間,但對於IT部門來說,這無疑是一個巨大的挑戰。
NSA意識到了這一點,並積極向公眾和企業發出關於網路威脅的警告。今年以來,NSA就曾就俄羅斯的郵件駭客事件和Windows 10漏洞發布聲明。
NSA的VPN建議
NSA發布了兩份文件,旨在幫助企業保護自己免受VPN相關攻擊和洩漏的影響。一份文件是建議摘要,另一份則是針對IT專家的實用設定指南。以下是NSA建議的五個重點:
不要依賴預設設定
這一點非常簡單明了,但卻常常被忽略。許多人在安裝新技術(包括VPN)時,往往不會深入研究所有可能的設定選項,這使得他們的系統更加脆弱。
駭客通常對他們試圖攻擊的VPN軟體非常了解,包括最容易進入的路徑——在大多數情況下,這就是利用預設設定。 NSA建議更改預設設置,避免使用嚮導或類似工具,以防止VPN平台被知情者利用。
保持VPN更新
確保軟體保持最新是一個明智的建議,無論你是在運行VPN還是玩遊戲。隨著新漏洞的發現,舊版的軟體成為駭客攻擊的焦點。
軟體更新可能令人煩惱,但如果錯過一次更新,可能會失去修復已知問題的關鍵補丁,從而暴露敏感的公司資料。
實施流量過濾規則
為了保護企業系統,重要的是嚴格控制誰可以存取這些系統,以及他們從何處存取。 NSA建議對網路位址的連接埠、協定和IP位址實施嚴格的過濾規則。
如果企業無法限製到特定的IP位址,NSA建議在VPN閘道前採用入侵防禦系統(IPS)。
移除未使用或不合規的加密套件
某些VPN套件可能保留不合規的加密演算法,這可能成為安全風險,因其可能被降級攻擊利用。駭客可以迫使VPN接受過時的加密套件,從而使其暴露在惡意行為者面前。
NSA建議透過確保僅配置合規的ISAKMP/IKE和IPsec策略來消除此風險,並定期檢查只使用合規的策略,以防止因圖形介面或使用者錯誤而重新引入不合規策略。
驗證僅使用CNSSP 15合規演算法
CNSSP 15合規演算法與政府機構用於保護自身系統的演算法相同,因此它們非常強大。 NSA認為,企業應與政府機構一樣受到保護,建議確保公司使用相同的標準。
你可以在NSA官網上查看完整建議,其中提供了兩份指南——一份是執行摘要,另一份是配置指南。
為您的企業選擇最佳VPN
即使在當前疫情之前,許多企業已經選擇採用VPN軟體,以幫助減輕全球員工不總是在辦公室工作的風險。 VPN允許員工透過安全連線安全存取公司環境,從而保護公司和使用者的安全。
我們測試了多款VPN,並根據價值、速度和安全性進行了評分。在我們的測試中,PureVPN因其對安全的細緻關注和易於使用的介面而成為最安全的選擇。
優點:
- 易於使用的管理員控制面板
- 主動的入侵防護系統
- 24/7優先支持
缺點:
- 不是市面上最快的VPN
- NordLayer比較便宜
如果您透過我們網站上的連結註冊服務或進行購買,或使用我們的報價工具取得客製化定價,我們可能會從您感興趣的技術供應商那裡獲得推薦費用。這有助於Tech.co提供免費資訊和評論,並不會對您產生額外費用。最重要的是,它不會影響我們的編輯公正性。 Tech.co上的評分和排名不能被購買。我們的評論是基於客觀的研究分析。極少數例外情況將明確標記為「贊助」表列,或透過頁面上的完整廣告揭露進行解釋。
