La NSA et le CISA ont publié des conseils conjoints pour aider les organisations à choisir leur solution de réseau privé virtuel (VPN) et à la renforcer contre les attaques.
Les serveurs VPN vulnérables sont des cibles attrayantes pour les acteurs de la menace, car ils offrent de grandes possibilités d'infiltration des systèmes et des réseaux des victimes. « De nombreux acteurs de menaces persistantes avancées (APT) d'États-nations ont utilisé des vulnérabilités et des expositions communes (CVE) pour accéder à des dispositifs VPN vulnérables. L'exploitation de ces CVE peut permettre à un acteur malveillant de voler des informations d'identification, d'exécuter du code à distance, d'affaiblir la cryptographie du trafic chiffré, de détourner des sessions de trafic crypté et de lire des données sensibles sur le dispositif », précise la NSA dans son communiqué de presse.
Comme l'a souligné la NSA, un acteur malveillant qui s'introduit dans un système peut ensuite causer toutes sortes de ravages sur le réseau d'une organisation.
Intitulé Selecting and Hardening Remote Access VPN Solutions, le guide définit les règles, ou plutôt les recommandations, que les organisations et les entreprises doivent suivre lorsqu'elles choisissent un VPN d'accès à distance qui leur permettra d'accéder à leurs systèmes. Il s'agit notamment d'adhérer à des solutions éprouvées, conformes aux normes du secteur et figurant sur les listes de conformité des produits, ainsi qu'à des services VPN qui ont clairement identifié les normes et les technologies qu'ils utilisent pour établir des connexions VPN.
Il est également conseillé de s'en remettre à des fournisseurs réputés ayant fait leurs preuves pour remédier rapidement à toute vulnérabilité, de suivre les meilleures pratiques en matière de cybersécurité et d'utiliser des identifiants d'authentification forts.
En ce qui concerne le renforcement des VPN, la fiche d'information NSA-CISA recommande aux organisations de :
- configurer une cryptographie et une authentification fortes
- n'exécuter que les fonctions les plus nécessaires et ainsi contribuer à réduire la surface d'attaque
- protéger et surveiller l'accès à et depuis leurs connexions VPN.
Bien entendu, la fiche va plus loin dans le détail et inclut des conseils repris depuis longtemps par les professionnels de la cybersécurité, comme l'utilisation de l'authentification multifactorielle et l'application de correctifs et de mises à jour de sécurité dès que possible pour atténuer toute vulnérabilité connue.
Bien que les conseils visent à améliorer la sécurité du ministère de la Défense, des systèmes de sécurité nationale et de la base industrielle de la défense, suivre ces recommandations serait bénéfique pour toute organisation ou entreprise, publique ou gouvernementale, qui utilise une solution VPN pour accéder à ses systèmes.