Remote access VPN’s krijgen te maken met ransomware

Security-analisten van Zscaler analy­seerden de nieuwste aanvallen van de Sodi­no­kibi-ransom­ware. Onder meer Travelex werd getroffen door deze ransom­ware en op Nieuw­jaars­avond werden de IT-systemen van het geld­wis­sel­kan­toor onklaar gemaakt. De aanval was mogelijk doordat het bedrijf vergeten was zijn Pulse Secure VPN-servers te patchen.

Toen remote access VPN’s 30 jaar geleden geïn­tro­du­ceerd werden, waren ze revo­lu­ti­o­nair. Van afstand toegang verkrijgen was destijds een voor­uit­stre­vend concept. VPN’s zijn echter gecreëerd in een tijd waarin de meeste apps in een data­center werden gehost, wat de bevei­li­ging ervan gemak­ke­lijk maakte door het plaatsen van een aantal network security-appli­ances. De wereld is inmiddels veranderd en interne appli­ca­ties staan nu veelal in de cloud. IT-teams moeten zorgen voor een goede ervaring – wat gebrui­kers ook verwachten – met de kennis dat 98% van alle security-aanvallen via het internet plaatsvinden.

 

Remote access VPN’s vereisen dat servers bloot­ge­steld worden aan het internet en dat gebrui­kers op het bedrijfs­net­werk geplaatst worden via statische tunnels die dwars door de firewall gaan. Nu blijkt dat dezelfde tech­no­logie die is gebouwd om orga­ni­sa­ties te beschermen hen kwetsbaar maakt voor moderne malware en ransomware-aanvallen.

 

Aanval­lers gaan daarbij als volgt te werk. Aller­eerst scannen ze het internet op zoek naar onge­patchte remote access VPN-servers en wordt toegang tot het netwerk op afstand gere­a­li­seerd (zonder geldige gebrui­kers­naam of wacht­woord). Eenmaal in het systeem bekijken ze logs en gecachte wacht­woorden in onop­ge­maakte tekst en zo wordt beheer­toe­gang tot het domein verkregen. Via laterale bewe­gingen over het gehele netwerk wordt de aanval verder uitge­breid en worden multi­factor authen­ti­ca­tion (MFA) en endpoint-security uitge­scha­keld. Op die manier wordt het mogelijk de ransom­ware naar netwerk­sys­temen te pushen en data te versleu­telen. Tot slot wordt de orga­ni­satie benaderd om losgeld te betalen.

 

Veel bedrijven vinden nog steeds dat remote access VPN’s nodig zijn. En in sommige gevallen kan dat ook nog wel zo zijn. Maar steeds vaker openen VPN’s de deuren van het netwerk naar het internet, en lopen bedrijven zodoende ook meer risico. Nadelen van VPN’s zijn onder meer:

 

●    Patching is vaak langzaam of wordt vergeten – Het denken aan of het vinden van tijd om VPN-servers te patchen is vaak al lastig. Teams wordt gevraagd meer te doen met minder, wat zorgt voor een mense­lijke uitdaging en zodoende leidt tot kwets­baar­heden in de security.

●    Gebrui­kers worden op het netwerk geplaatst– Wellicht is dit de oorsprong van alle problemen die zijn gere­la­teerd aan remote access VPN’s. Om VPN’s te laten werken moeten netwerken zichtbaar zijn. Deze zicht­baar­heid maakt een bedrijf kwetsbaar voor aanvallen.

●     Lateraal risico op zeer grote schaal – Eenmaal op het netwerk kan malware zich lateraal verspreiden, ondanks inspan­ningen om netwerk­seg­men­tatie uit te voeren (wat op zichzelf al een complex proces is). Zoals eerder genoemd, kan dit leiden tot het uitscha­kelen van andere bevei­li­gings­tech­no­lo­gieën, zoals MFA en endpoint-security.

●    De reputatie van het bedrijf – Klanten vertrouwen er op dat hun infor­matie wordt beschermd en dat zij worden voorzien van het hoogste servi­ce­ni­veau. Om dit te kunnen doen, moeten bedrijven zichzelf goed beschermen. Nieuws van een ransom­ware-aanval kan een nadelige impact hebben op de merkreputatie.

 

De negatieve gevolgen van VPN hebben geleid tot een zoektocht naar een alter­na­tieve oplossing. Gartner zegt hierover: “Tegen 2023 zal 60% van de orga­ni­sa­ties het grootste deel van hun remote access virtual private networks (VPN’s) afbouwen ten gunste van zero trust network access (ZTNA).”

 

Voordelen van ZTNA zijn onder meer dat bedrijfsrisico’s worden gemi­ni­ma­li­seerd. Zo biedt ZTNA toegang tot speci­fieke bedrijfs­ap­pli­ca­ties (op basis van policy) zonder netwerk­toe­gang. De infra­struc­tuur wordt nooit bloot­ge­steld. Ook worden kosten verlaagd doordat ZTNA vaak volledig in de cloud kan worden geleverd als een service. Dat betekent dat er geen servers hoeven worden aange­schaft, gepatcht of beheerd. Tot slot wordt ook de gebrui­ker­s­er­va­ring verbeterd door de toege­nomen beschik­baar­heid van cloud ZTNA-services in verge­lij­king met beperkte VPN inkomende gateway-appli­ances. Externe gebrui­kers krijgen sneller en eenvou­diger toegang, ongeacht appli­catie, apparaat of locatie.