Saldırganlar, kurumsal ağlara sızmak için giderek daha fazla VPN yazılımlarına göz dikerken, savunmasız VPN’lerin kendilerinin bir siber risk kaynağı olduğuna dair endişeler de artıyor
Sanal Özel Ağ (VPN) hizmetleri, son yıllarda modern işletmeler için vazgeçilmez araçlar olarak ortaya çıktı ve 2020’de pandemi kaynaklı uzaktan çalışma furyası sırasında birçoğu için günü kurtarmaya yardımcı olduğundan bu yana, kullanım iki katına çıktı. VPN’ler, şirket ağları ve çalışan cihazları arasında seyahat eden kurumsal veriler için şifreli bir tünel oluşturarak, çalışanların üretkenliğini tehlikeye atmadan veya şirketlerin kritik operasyonlarını aksatmadan hassas bilgilerin güvenliğini sağlamaya yardımcı olur. Birçok kuruluş hibrit işyeri modeline geçtiğinden beri uzaktan erişim VPN’ler ağ bağlantısı ve güvenlik araç setlerinde temel bir unsur olmaya devam ediyor.
Öte yandan VPN’ler, bazen yamalar yayımlanmadan önce bile onları hedef alan güvenlik açıkları ve istismarların artması nedeniyle yoğun bir inceleme altına girmiştir. VPN’ler potansiyel olarak kurumun anahtarı sayıldığından hem ulus devlet aktörleri hem de siber suçlular için cazibeleri yadsınamaz. Saldırganlar, kurumsal yazılım yığınlarındaki zayıf noktaları araştırmak için önemli kaynaklar ayırıyor, bu da kuruluşlar üzerinde daha fazla baskı oluşturuyor ve sağlam risk azaltma uygulamalarının önemini vurguluyor.
Güvenlik boşluklarının, büyük ölçekli tedarik zinciri saldırılarının ve kurumsal savunmalara yönelik diğer ihlallerin kitlesel olarak istismar edilmesinin giderek yaygınlaştığı bir çağda, VPN’lerin kurumsal verilerin kötü aktörlere karşı korunmasına yardımcı olma becerisinin yanı sıra bu yazılımın kendisinin de başka bir siber risk kaynağı olmasıyla ilgili endişeler artmaktadır.
Bu da şu soruyu akla getiriyor: Kurumsal VPN’ler kuruluşunuzun saldırı yüzeyini artıran bir sorumluluk olabilir mi?
Krallığın anahtarları
VPN, kullanıcının trafiğini, verileri meraklı gözlere karşı koruyan şifreli bir tünel üzerinden yönlendirir. VPN’inin ana varlık nedeni, genel bir ağ veya internet üzerinden özel bir bağlantı oluşturmaktır. Bunu yaparken, coğrafi olarak dağınık bir işgücünün ofis masalarında oturuyormuş gibi dahili ağlara erişimini sağlar ve cihazlarını kurumsal ağın bir parçası haline getirir.
Ancak tıpkı bir tünelin çökebileceği veya sızıntılar olabileceği gibi, savunmasız bir VPN cihazı da her türlü tehditle karşı karşıya kalabilir. Güncel olmayan yazılımlar genellikle birçok kuruluşun bir saldırıya kurban gitmesinin nedenidir. Bir VPN güvenlik açığının istismar edilmesi, bilgisayar korsanlarının kimlik bilgilerini çalmasına, şifrelenmiş trafik oturumlarını ele geçirmesine, rastgele kodu uzaktan çalıştırmasına ve hassas kurumsal verilere erişmesine olanak sağlayabilir. Bu VPN Güvenlik Açığı Raporu 2023, son yıllarda bildirilen VPN güvenlik açıklarına ilişkin kullanışlı bir genel bakış sunmaktadır.
Gerçekten de tıpkı diğer yazılımlar gibi, VPN’ler de güvenlik açıklarını gidermek için bakım ve güvenlik güncellemeleri gerektirir. VPN’lerin genellikle planlı bir kesinti süresi olmaması ve bunun yerine her zaman çalışır durumda olmalarının beklenmesi yüzünden işletmeler VPN güncellemelerine takip etmekte zorlanırlar.
Fidye yazılımı gruplarının genellikle savunmasız VPN sunucularını hedef aldığı bilinmektedir ve en az bir kez erişim elde ederek, verileri şifrelemek ve fidye için tutmak, dışarı sızdırmak, casusluk yapmak ve daha fazlası gibi istedikleri her şeyi yapmak için bir ağda hareket edebilirler. Başka bir deyişle, bir güvenlik açığının başarılı bir şekilde kullanılması, ek kötü niyetli erişimin önünü açar ve potansiyel olarak kurumsal ağın yaygın bir şekilde tehlikeye girmesine yol açar.
Uyarıcı hikayeler çoktur
Kısa bir süre önce Global Affairs Canada, tercih ettiği VPN çözümünün tehlikeye girmesinden kaynaklanan ve en az bir ay devam eden bir veri ihlaline ilişkin soruşturma başlattı. İddiaya göre, bilgisayar korsanları, 20 Aralık 2023 tarihinden 24 Ocak 2024 tarihine kadar dizüstü bilgisayarlarının bağlandığı açıklanmayan sayıda çalışan e-postasına ve çeşitli sunuculara erişim sağladı. IBM’in Cost of a Data Breach 2023 raporuna göre, veri ihlallerinin çok büyük maliyetleri olduğunu söylemeye gerek yok.
Bir başka örnekte, 2021 yılında Rusya’ya bağlı tehdit aktörleri kurumsal VPN altyapı ürünlerindeki beş güvenlik açığını hedef almış ve bu da NSA’nın kurumları yamaları mümkün olan en kısa sürede uygulamaya, aksi takdirde bilgisayar korsanlığı ve casusluk riskiyle karşı karşıya kalmaya çağıran genel bir uyarı yapmasını gerektirmiştir.
Bir başka endişe de herhangi bir VPN hizmetiyle sınırlı olmayan tasarım kusurlarıdır. Örneğin, yakın zamanda araştırmacılar tarafından ortaya çıkarılan ve birçok kurumsal ve tüketici VPN’ini etkileyen TunnelCrack güvenlik açıkları, saldırganların kurbanları kandırarak trafiklerini korumalı VPN tünelinin dışına göndermelerini ve veri aktarımlarını gözetlemelerini sağlayabilir.
Bu tür güvenlik boşluklarını kapatmak için kritik güvenlik güncellemeleri gereklidir, bu nedenle bunları takip etmek bir zorunluluktur. Bir başka geleneksel tehdit de kötü niyetli kişilerin aldatıcı web sitelerini kullanarak çalışanları VPN giriş bilgilerini vermeleri için kandırması olduğundan çalışanların farkındalığı da önemlidir. Bir dolandırıcı ayrıca dahili ağlara sızmak ve verileri tehlikeye atmak ve/veya dışarı sızdırmak veya şirketin faaliyetlerini sessizce gözetlemek için bir çalışanın telefonunu veya dizüstü bilgisayarını çalabilir.
Verilerin güvenliğini sağlama
Bir işletme, çalışanlarını ve dahili bilgilerini korumak için yalnızca VPN’lerine güvenmemelidir. VPN, normal uç nokta korumasının yerini almadığı gibi diğer kimlik doğrulama yöntemlerinin de yerini almaz.
VPN sağlayıcıları da dahil olmak üzere yazılım üreticileri tarafından yayımlanan güvenlik güncellemelerini takip etmenin önemi yeterince vurgulanamayacağından, güvenlik açığı değerlendirmesi ve yamalama konusunda yardımcı olabilecek bir çözüm kullanmayı düşünün. Başka bir deyişle, düzenli bakım ve güvenlik güncellemeleri, başarılı bir siber olay olasılığını en aza indirmenin en iyi yollarından biridir.
Daha da önemlisi, tercih ettiğiniz VPN’i tehlikeye karşı güçlendirmek için ek önlemler alın. Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA), tam da bunu yapan çeşitli önlemleri özetleyen kullanışlı bir broşüre sahiptir. Bu önlemler arasında saldırı yüzeyini daraltmak, hassas kurumsal verileri karıştırmak için güçlü bir şifreleme kullanmak, sağlam kimlik doğrulama (tek seferlik kod şeklinde ek bir ikinci faktör gibi) ve VPN kullanımını izleme yer alıyor. Endüstri standartlarına uygun ve siber güvenlik en iyi uygulamalarını takip etme konusunda kanıtlanmış bir geçmişe sahip saygın bir satıcıdan gelen bir VPN kullanın.
Hiçbir VPN yazılımı mükemmel korumayı garanti etmez ve bir işletmenin erişim yönetimi için yalnızca buna güvenmesi tavsiye edilmez. Kuruluşlar, kullanıcıların sürekli kimlik doğrulamasına dayanan sıfır güven güvenlik modelinin yanı sıra sürekli ağ izleme, ayrıcalıklı erişim yönetimi ve güvenli çok katmanlı kimlik doğrulamayı içeren diğer kontroller gibi dağıtılmış bir iş gücünü desteklemek için diğer seçenekleri keşfetmekten de yararlanabilir. Diğer şeylerin yanı sıra saldırı yüzeyini daraltabileceğinden ve yapay zeka tabanlı tehdit algılama yetenekleri şüpheli davranışları otomatik olarak vurgulayabileceğinden, karışıma uç nokta algılama ve yanıtını da ekleyin.
Ek olarak, sahip olduğunuz veya istediğiniz VPN güvenliğini göz önünde bulundurun. Bu, VPN’lerin sundukları şeylerde farklılık gösterebileceği anlamına gelir çünkü yüzeyin altında bir sunucuya basit bir bağlantı oluşturmaktan çok daha fazlası vardır. Ayrıca çeşitli ek güvenlik önlemleri de içerebilir. Ek olarak VPN’ler kullanıcı erişimini nasıl ele aldıkları konusunda da farklılık gösterebilir; biri kimlik bilgilerinin sürekli girilmesini gerektirirken, diğeri tek seferlik bir şey isteyebilir.
Sonuç
VPN’ler genellikle güvenli uzaktan erişim için çok önemli bir bileşen olsa da özellikle diğer güvenlik uygulamaları ve kontrollerinin yokluğunda, kurumsal ağlara girmek isteyen saldırganlar için cazip hedefler olabilirler. Çeşitli gelişmiş kalıcı tehdit (APT) grupları son zamanlarda kullanıcı kimlik bilgilerini çalmak, uzaktan kod çalıştırmak ve kurumsal mücevherleri çıkarmak için VPN yazılımındaki bilinen güvenlik açıklarını silah olarak kullandı. Bu güvenlik açıklarının başarılı bir şekilde kullanılması, genellikle ek kötü niyetli erişimin önünü açmakta ve potansiyel olarak kurumsal ağların büyük ölçekli tehlikeye atılmasına yol açmaktadır.
Çalışma biçimleri değiştikçe uzaktan erişim talebi devam etmekte ve bu da bir kurumun güvenlik stratejisinde temel bir unsur olarak dağınık işgücünün güvenliğine öncelik vermenin süregelen öneminin altını çizmektedir.