Зьюс Керравала, основатель и главный аналитик компании ZK Research, обсуждает на портале Network Computing выводы отчета Zscaler «2023 VPN Risk Report», согласно которым организации начинают уделять первостепенное внимание внедрению технологии сетевого доступа с нулевым доверием (Zero Trust Network Access, ZTNA), поскольку виртуальные частные сети (VPN) могут подвергать их различным киберугрозам.
VPN уже давно стали для предприятий основным инструментом для безопасного подключения удаленных сотрудников к своим сетям. Недавний всплеск популярности удаленной работы только усилил эту тенденцию: 84% организаций с этой целью преимущественно используют именно VPN. Однако лишь небольшая часть организаций применяет VPN для работы с неуправляемыми устройствами, что говорит о рисках этого подхода.
Такие выводы содержатся в отчете Zscaler, составленном на основе проведенного в июне 2023 г. онлайн-опроса 382 ИТ-специалистов и экспертов по кибербезопасности. В исследовании рассматриваются сложности управления VPN, проблемы работы пользователей, растущие риски кибератак и общее влияние на безопасность. Ниже приводится краткое изложение основных выводов.
Поскольку 70% пользователей ежедневно используют VPN в своей повседневной деятельности, качество и надежность этих сервисов имеют решающее значение. Тем не менее, при использовании VPN часто возникают проблемы, такие как медленное соединение (об этом сообщили 25% респондентов), обрыв соединения (21%) и несовместимость работы пользователей на разных платформах (16%).
Интересно, что, несмотря на высокую частоту использования VPN и постоянные угрозы кибербезопасности, пользователи относят безопасность VPN к менее значимым проблемам. Что касается удовлетворенности пользователей, то 72% ИТ-специалистов не удовлетворены работой с VPN, что подчеркивает необходимость создания более надежных и удобных решений для удаленного доступа.
Отчет также показал, что компании сталкиваются с проблемами управления инфраструктурой VPN. По мнению 22% респондентов, наиболее серьезной проблемой является достижение баланса между производительностью VPN и удобством работы пользователей. Также следует отметить проблемы, связанные с устранением неполадок при подключении к VPN и необходимостью постоянного обновления ПО. Только 9% ИТ-специалистов назвали в качестве основной проблемы увеличение расходов на инфраструктуру VPN.
Что касается безопасности, то 88% респондентов заявили, что они обеспокоены тем, что их VPN может представлять потенциальную угрозу безопасности. Кроме того, 90% респондентов выразили опасения по поводу доступа через VPN третьих лиц. Учитывая, что третьи стороны могут не придерживаться таких же строгих стандартов кибербезопасности, они могут непреднамеренно открыть злоумышленникам дверь для проникновения в сеть организации. В общей сложности 35% опрошенных выразили «очень» или «крайне» серьезную обеспокоенность, что свидетельствует о том, что VPN-доступ третьих лиц является одним из основных источников беспокойства.
Из-за наличия уязвимостей и необходимости постоянного внесения исправлений VPN могут подвергать организации различным киберугрозам. Респонденты назвали фишинговые атаки и атаки с целью получения выкупа наиболее вероятными для использования слабых мест VPN. Кроме того, выяснилось, что 45% организаций за последний год подверглись одной или нескольким атакам на свои VPN-серверы из-за уязвимостей в ПО VPN.
Переход от VPN к ZTNA
В ответ на эти опасения 90% организаций считают приоритетным переход к модели нулевого доверия, основанной на принципе «никогда не доверяй, всегда проверяй». Это включает в себя такие аспекты, как надежные процедуры многофакторной аутентификации, постоянная проверка трафика, разделение сети, доступ с минимальными привилегиями и постоянное наблюдение. Ошеломляющие 92% организаций либо находятся в процессе внедрения (27%), либо планируют внедрение (42%), либо рассматривают возможность реализации стратегии нулевого доверия. Организации, не принимающие эту стратегию, рискуют отстать от других и стать более уязвимыми перед киберугрозами.
Переход от VPN к ZTNA знаменует собой поворотное изменение в современных стратегиях кибербезопасности: 40% организаций переходят на ZTNA. Для тех, кто рассматривает этот переход, важно оценить решения ZTNA, отвечающие их специфическим потребностям. Организации, которые не могут полностью перейти на ZTNA, могут использовать гибридные модели, сочетающие в себе преимущества ZTNA и использующие существующую VPN-инфраструктуру.
В отчете дается несколько рекомендаций, которые помогут организациям успешно перейти от традиционных VPN к современной архитектуре нулевого доверия. Во-первых, организации должны оценить свою инфраструктуру, что начинается с глубокого анализа существующей VPN. Затем следует выбрать подходящее решение с нулевым доверием, предпочтительно одновременно нативно-облачное и программно-определяемое. Также следует применять принцип наименьших привилегий для предоставления пользователям необходимого доступа к ресурсам в соответствии с их ролями.
Важно подготовиться к будущему росту, выбрав решение, способное адаптироваться к бизнесу по мере его расширения. Согласно отчету, примерно 11% организаций испытывают проблемы с масштабируемостью своих VPN. Помочь организациям эффективно управлять растущими потребностями могут, например, облачные решения. В то же время регулярный пересмотр и обновление политик безопасности позволяет обеспечить соответствие бизнеса современным требованиям безопасности.
Кроме того, организации должны защитить всех пользователей, внедрив решение, обеспечивающее безопасный доступ для удаленных сотрудников, сторонних организаций и неуправляемых устройств. И наконец, необходимо придерживаться стратегии постоянного мониторинга для выявления и устранения потенциальных проблем. Проактивное обнаружение угроз и реагирование на них являются важнейшими элементами системы нулевого доверия.
В заключение следует отметить, что хотя VPN по-прежнему остаются основным средством удаленного доступа к сети, их ограничения и уязвимости привели к росту интереса к более безопасным и надежным альтернативам, таким как ZTNA. Поскольку угрозы кибербезопасности продолжают развиваться, компании должны уделять первоочередное внимание оценке существующей инфраструктуры, улучшению пользовательского опыта и изучению современных моделей безопасности.