用了20多年的VPN，为什么成了黑客的突破口？

芯盾时代 2024-01-05 10:52:45  52843

分类专栏：资讯

你知道吗，VPN最近又“塌房”了，而且还塌了两次。

第一次发生在大家都很熟悉的Uber（优步）。一个18岁的黑客通过社会工程拿到了Uber员工的VPN账号，然后在Uber的内网自由的飞翔，获取了各种敏感信息，还顺手搞到了特权访问管理平台的管理员凭证。

第二次塌房，是黑客放出了一份包含12856台设备上的498908名用户的某大厂的VPN登录凭证清单。考虑到VPN多采用“账号+密码”的登录方式，这次泄露相当于把用户的家门钥匙挂在小区门口，用者自取。

其实，只要你稍微留意一下网安新闻，就会发现VPN的“瓜”常吃常有。尤其是新冠发生以来，很多企业都通过VPN远程办公，易攻难守的VPN被广大黑客重点关照，成为了企业网络安全防线上的“突破口”。

那么问题来了，制霸远程接入领域多年的VPN，怎么就忽然混到了这步田地呢？

VPN，为什么成了黑客最爱的突破口？

想弄清VPN的问题，得先从VPN的身世说起。VPN诞生于1996年，其目的是扩展可信网络范围，通过在互联网上建立加密隧道，实现对企业内网的远程访问。在它诞生的年代，江湖远没有现在这么险恶，加之有远程访问需求和权限的用户并不多，使得VPN的基因里自带“过度信任”这个致命缺陷。随着网络环境、业务环境的变化，企业内外网的边界越来越模糊，VPN的先天不足被放大，造成了一系列安全风险：

1.VPN“明”攻击者“暗”，不知不觉就破防：VPN采用“先连接后认证”的机制，设备的IP和端口暴露在互联网上，相当于在黑暗森林里点起篝火，攻击者可以随时打黑枪，DDoS、0day漏洞……攻击者可以慢慢挑选适合的武器；

2.静态认证很佛系，有了账密就能登：VPN多采用传统的“账号+密码”的静态认证，攻击者一旦盗取了员工的账户，或者撞库成功，就可冒用员工身份进入企业内网，在企业的内网自由的飞翔；

3.终端环境不可控，不知哪台是跳板：传统的VPN客户端只有接入功能，无法实现对终端的持续安全监测，无法确定终端是否存在恶意软件、非法进程连接VPN系统，一旦终端设备被攻破，攻击者可以将其作为“跳板”跳过各种边界防护设备，轻松进入企业内网。

总的来说呢，VPN易攻难守，一旦攻破收益又极大，自然备受黑客们的“青睐”。

从过度信任，到零信任

既然VPN的问题的根源在于“过度信任”，那么它的接班人的名字呼之欲出——正是零信任！与VPN不同，零信任诞生于边界模糊化的网络环境，默认不信任企业网络内外的任何人、设备和系统，以“身份”为核心构建动态化、随身化、微粒化的安全边界，对每一次访问“持续验证、永不信任”。

芯盾时代零信任安全接入网关（ZVG），基于零信任理念打造，采用SPA单包授权技术，彻底解决VPN设备暴露面大的问题；ZVG提供安全基线检测和移动免密认证，保证终端安全和身份安全，让企业用户与合作伙伴能够使用任意设备，在任意地点、任意时间，以最小化权限安全地访问企业资源，是替换VPN的理想方案。