National Security Association (NSA) har tillkännagett en serie försiktighetsåtgärder och riktlinjer för bästa praxis för företag som använder VPN, bland oron över att den ökade mängden läxarbete gör företag mer sårbara för onlineattacker.
Dessa rekommendationer har utfärdats förra veckan och fokuserar på sunt förnuft – som att inte förlita sig på standardinställningar som är lättare att knäcka – samt ge IT-avdelningarna djupgående tekniska lösningar för att minska risken för attacker.
Se vår guide till de bästa VPN-tjänsterna för företag
Varför utfärdar NSA varningar nu?
Med många av oss som nu arbetar hemifrån ser företagen en enorm körning i trafik utanför deras vanliga kontorsinfrastruktur. Detta gör nätverkssäkerhetshanteringen mycket mer komplex och kastar upp en mängd nya problem. För vissa företag kan denna sikt vara den nya normalen, med tekniska giganter som Twitter och Facebook som berättar för sin personal att de kan arbeta hemifrån på obestämd tid.
Många andra företag kan mycket väl följa, särskilt om deras anställda kräver det. Enligt en nyligen genomförd studie vill 54% av oss främst arbeta hemifrån nu. Även om det innebär färre raseriinducerande pendlingar och längre lögn för de flesta anställda, för IT-avdelningar, kan det orsaka verklig huvudvärk.
NSA erkänner detta och har varit proaktiv i att varna allmänheten och företagen om hot online. Detta har inte alltid varit fallet, men bara i år har vi sett NSA-uttalanden om e-posthackning av ryssarna och varningar om Windows 10-utnyttjande.
NSA: s VPN-förslag
NSA har utfärdat två dokument för att hjälpa företag att skydda sig mot attacker och intrång som härrör från VPN-problem. Den ena är avsedd som en sammanfattning av råd, medan den andra är en mer praktisk guide med konfigurationer riktade till IT-experter.
Förslagen kan sammanfattas till följande fem ämnen:
Lita inte på standardinställningarna
Den här är ganska enkel, men det betyder inte att den ska diskonteras. Många av oss bryr sig inte om att gräva i alla möjliga installationsalternativ när vi installerar ny teknik, inklusive VPN, och det gör dem mer sårbara.
Hackare kan ha god kunskap om VPN-programvaran som de försöker attackera, inklusive den minst motståndsrika inträdesvägen – i de flesta fall kommer detta att använda standardinställningarna.
För att säkerställa att du inte gör livet enkelt för hackare föreslår NSA att standardinställningarna ändras. Det rekommenderar att du inte ger efter för frestelsen att använda en installationsguide eller liknande, eftersom detta kan göra din VPN-plattform sårbar för de som vet.
Håll din VPN uppdaterad
Att se till att din programvara är uppdaterad är ett bra råd om du kör en VPN eller bara spelar Candy Crush. Eftersom nya exploateringar finns i befintliga programversioner blir de en kontaktpunkt för hackare som bråttom bryter mot programvaran innan den kan stängas.
Ja, programuppdateringar kan vara irriterande, men hoppa över en, och du kan mycket väl missa en viktig lösning för ett känt problem som kan avslöja känslig företagsinformation.
Implementera regler för trafikfiltrering
För att skydda affärssystem är det viktigt att hålla en noggrann kontroll över vem som kommer åt dem och varifrån de kommer åt dem. NSA rekommenderar strikta filtreringsregler för portar, protokoll och IP-adresser till nätverksadresser.
Om det inte är möjligt för företag att filtreras till en specifik IP-adress rekommenderar NSA att du använder ett system för förebyggande av intrång framför din VPN-gateway.
Ta bort oanvända eller icke-kompatibla kryptografisviter
Vissa VPN-kostymer lämnar kryptografiska algoritmer som inte överensstämmer, vilket kan vara en säkerhetsrisk eftersom de kan utnyttjas genom nedgraderingsattacker. Genom dessa kan en hackare tvinga ett VPN att acceptera föråldrade kryptografidräkter, vilket gör dem sårbara för dekryptering från otroliga aktörer.
NSA föreslår att man tar bort denna risk genom att se till att endast ISAKMP / IKE- och IPsec-kompatibla policyer är konfigurerade, med de som inte är kompatibla, tas bort från VPN. Det föreslår också att du regelbundet kontrollerar att endast policyer för klagomål är konfigurerade, eftersom de kan återinföras med hjälp av grafiska gränssnitt eller användarfel.
Kontrollera att endast CNSSP 15-kompatibla algoritmer används
CNSSP 15-kompatibla algoritmer är desamma som de som används av myndigheter för att skydda sina egna system, så som ni kan föreställa er de ganska robusta. NSA anser att ditt företag ska vara lika skyddat som de är och föreslår att du ser till att ditt företag använder samma standard.
Du kan se rekommendationerna i sin helhet på NSA: s webbplats, som erbjuder två guider i ämnet – en sammanfattning och en konfigurationsguide.
Det bästa VPN för ditt företag
Redan före den nuvarande pandemin valde många företag att anta VPN-programvara för att mildra farorna med en global arbetskraft som inte alltid fungerar på kontoret. En VPN tillåter anställda att säkert komma åt företagsmiljöer via en säker anslutning, vilket skyddar både företaget och användaren.
Vi har testat flera VPN och betygsatt dem efter värde, hastighet och naturligtvis säkerhet. I våra tester är det PureVPN som kom ut på toppen som den säkraste, tack vare dess detaljbesatta inställning till säkerhet, i kombination med ett lättanvänt gränssnitt som gör det enkelt att använda.