本文來自微信公眾號“GoUpSec”。
根據(jù)Zscaler的一份新報告,九成企業(yè)擔心VPN帶來的數(shù)據(jù)泄漏風險,由于網(wǎng)絡犯罪分子利用VPN漏洞的威脅日益增加,企業(yè)需要重新評估安全態(tài)勢并盡快遷移到零信任架構(gòu)。
九成企業(yè)意識到零信任的重要性
報告顯示,超過九成(92%)的受訪者已經(jīng)認識到采用零信任網(wǎng)絡訪問架構(gòu)(ZTNA)的重要性,但令人擔憂的是,許多企業(yè)仍在使用VPN進行遠程辦公和第三方訪問,為攻擊者提供了大量可利用的攻擊面。
“傳統(tǒng)防火墻和VPN供應商正在云中構(gòu)建虛擬VPN,在營銷中故意弱化或者隱藏VPN一詞,冒充零信任解決方案。企業(yè)客戶在選購時需要提出正確的問題,確保不會舊瓶裝新酒的云端虛擬化產(chǎn)品產(chǎn)生錯誤的安全感。”報告指出:“為了防范不斷演變的勒索軟件攻擊,企業(yè)需要盡快淘汰VPN的使用,優(yōu)先考慮用戶到應用程序的分段,并實施具有完整TLS檢查的內(nèi)聯(lián)上下文數(shù)據(jù)丟失防護引擎。”
三分之一勒索軟件攻擊選擇VPN作為入口
近九成(88%)企業(yè)對VPN漏洞造成的潛在數(shù)據(jù)泄漏深表擔憂。具體而言,經(jīng)常使用VPN的企業(yè)最擔心的威脅是網(wǎng)絡釣魚攻擊(49%)和勒索軟件攻擊(40%)。
近一半的受訪企業(yè)表示,他們已成為網(wǎng)絡攻擊者的目標,這些攻擊者利用了VPN的過時協(xié)議或數(shù)據(jù)泄露漏洞,其中五分之一的企業(yè)在過去一年中遭受過此類攻擊。
尤其是勒索軟件,已成為企業(yè)安全的主要威脅之一,去年有33%的勒索軟件攻擊選擇VPN作為入口。
九成企業(yè)擔心第三方風險
盡管采取了各種嚴格的安全措施,但研究表明,90%的企業(yè)仍然高度擔心第三方供應商被攻擊者利用來獲得對其網(wǎng)絡的間接后門訪問。
由于第三方采用不同的安全標準、缺乏對其網(wǎng)絡安全實踐的可見性以及管理外部第三方訪問的復雜性,承包商和供應商等外部用戶對企業(yè)構(gòu)成的風險正在累積。
傳統(tǒng)的網(wǎng)絡安全架構(gòu)通過網(wǎng)絡訪問控制來管理對內(nèi)部應用程序的訪問,這意味著訪問者只需要在訪問點確認其憑據(jù),而這些憑據(jù)一旦被盜,就會出現(xiàn)問題。
通過零信任方法,用戶可以直接連接到所需應用程序和資源,而無需連接到網(wǎng)絡。用戶到應用程序和應用程序到應用程序的“直接連接”消除了橫向移動的風險,并可防止受感染的設備感染其他資源。此外,在零信任訪問架構(gòu)中,用戶和應用程序?qū)ヂ?lián)網(wǎng)來說是不可見的,因此不會被發(fā)現(xiàn)或受到攻擊。
七成企業(yè)計劃轉(zhuǎn)向零信任
除了安全問題之外,超過七成(72%)企業(yè)用戶對其VPN的體驗不滿意,因為VPN連接緩慢且不可靠。25%的用戶因應用程序速度緩慢而感到沮喪,而21%的人則面臨頻繁的連接中斷。
不可靠的互聯(lián)網(wǎng)連接意味著糟糕的用戶體驗,導致用戶沮喪并降低用戶參與度。
此外,身份驗證的復雜性和摩擦可能會導致生產(chǎn)力下降、收入減少,并增加用戶繞過低效VPN服務而產(chǎn)生的數(shù)據(jù)丟失風險。
越來越多的企業(yè)已經(jīng)意識到VPN對網(wǎng)絡安全、用戶體驗和業(yè)務摩擦的負面影響,開始轉(zhuǎn)向零信任架構(gòu)。
事實上,高達92%的受訪者已經(jīng)認識到采用零信任方法來保護其資產(chǎn)和數(shù)據(jù)的重要性,同比增長了12%,近七成(69%)的受訪者已處于用零信任網(wǎng)絡訪問替換當前VPN解決方案的規(guī)劃階段。