美國國家安全局(National Security Agency, NSA)與國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)共同發表「VPN安全強化指引」(Selecting and Hardening Remote Access VPN Solutions),旨在協助各公私單位強化VPN安全。
VPN伺服器常為進入各種受保護網路之入口節點,因此成為駭客組織攻擊之標的;過往有許多國家層級資助之進階持續性威脅(Advanced Persistent Threat, APT)駭客組織,利用VPN相關漏洞,執行使用者登入資訊竊取、遠端執行任意程式碼、破解加密傳輸資訊及竊取機敏資料等。
該指引說明如何選擇安全VPN服務與強化VPN安全性設定等,以協助公私單位降低VPN遭攻擊成功之機率;重點包括選用經「國家資訊安全保障聯盟」(National Information Assurance Partnership, NIAP)驗證通過之VPN產品、導入多因素身分驗證機制、即時進行漏洞修補與更新及停用非VPN相關功能等方法,以降低VPN攻擊面(Attack Surface)。
資料來源:
https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2791320/nsa-cisa-release-guidance-on-selecting-and-hardening-remote-access-vpns/
https://www.niap-ccevs.org/Product/PCL.cfm