Os serviços de VPN (Virtual Private Network, rede privada virtual) se tornaram ferramentas essenciais para as empresas modernas, especialmente porque se transformaram em algo fundamental em meio ao trabalho remoto impulsionado pela pandemia de 2020.
Como muitas organizações se estabeleceram em um modelo de local de trabalho híbrido, as VPNs de acesso remoto se tornaram um elemento básico das ferramentas de conectividade e segurança de rede.
As VPNs ajudam a proteger informações confidenciais, fornecendo um túnel criptografado para os dados corporativos que trafegam entre as redes da empresa e os dispositivos dos funcionários, sem comprometer a produtividade ou prejudicar as operações comerciais essenciais.
Em uma época em que a exploração massiva de falhas de segurança, os ataques em larga escala à cadeia de suprimentos e outras violações das defesas corporativas são cada vez mais comuns, crescem as preocupações com a capacidade das VPNs de proteger os dados corporativos e com a possibilidade de esse software em si ser outra fonte de risco cibernético.
Além disso, as VPNs também estão sendo cada vez mais examinadas devido ao aumento das vulnerabilidades de segurança e das exploits direcionados a elas, às vezes antes mesmo das correções serem lançadas.
A atração por atores de estado-nação e cibercriminosos é inegável, pois eles representam potencialmente as chaves do reino corporativo.
Os cibercriminosos dedicam recursos significativos para encontrar pontos fracos, aumentando a pressão sobre as organizações e destacando a importância de práticas sólidas de atenuação de riscos.
Isso levanta a questão: as VPNs corporativas poderiam aumentar a superfície de ataque?
As chaves do reino
Uma VPN direciona o tráfego do usuário por meio de um túnel criptografado que protege os dados de olhares indiscretos. A principal razão de ser de uma VPN corporativa é criar uma conexão privada em uma rede pública, ou na Internet, para permitir que os funcionários geograficamente dispersos acessem as redes internas como se estivessem sentados em suas mesas de trabalho, tornando assim seus dispositivos parte da rede corporativa.
Assim como um túnel pode falhar ou vazar, um dispositivo VPN vulnerável pode enfrentar todos os tipos de ameaças. Um software desatualizado costuma ser um dos motivos de um ataque bem-sucedido. A exploração de uma vulnerabilidade de VPN pode permitir que os cibercriminosos roubem credenciais, sequestrem sessões de tráfego criptografado, executem remotamente códigos arbitrários e deem a eles acesso a dados corporativos confidenciais.
Este Relatório de vulnerabilidade de VPN 2023 oferece uma visão geral prática das vulnerabilidades de VPN relatadas nos últimos anos.
Como qualquer outro software, as VPNs exigem manutenção e atualizações de segurança para corrigir as vulnerabilidades. As empresas acham difícil acompanhar essas atualizações, principalmente porque as VPNs não costumam ter períodos de inatividade planejados, mas espera-se que estejam sempre em funcionamento.
Sabe-se que os grupos de ransomware geralmente têm como alvo servidores VPN vulneráveis e, depois de obter acesso pelo menos uma vez, podem se movimentar em uma rede para fazer o que quiserem, como criptografar e manter os dados para resgate, exfiltrá-los, realizar espionagem e muito mais.
Em outras palavras, a exploração bem-sucedida de uma vulnerabilidade abre caminho para outros acessos mal-intencionados, o que pode levar a um comprometimento generalizado da rede corporativa.
Há muitos exemplos de ataques por meio de vulnerabilidades de VPN
Recentemente, a Global Affairs Canada lançou uma investigação sobre um vazamento de dados, por meio de um ataque à sua solução de VPN, que estava em andamento há pelo menos um mês. Os cibercriminosos supostamente acessaram um número não revelado de e-mails de funcionários e vários servidores aos quais seus laptops estavam conectados de 20 de dezembro de 2023 a 24 de janeiro de 2024. Não é preciso dizer que os vazamentos de dados acarretam custos imensos: US$ 4,45 milhões em média, de acordo com o relatório Cost of a Data Breach 2023 da IBM.
Outro exemplo: em 2021, cibercriminosos alinhados com a Rússia atacaram cinco vulnerabilidades em produtos de infraestrutura de VPN corporativa, o que levou a um aviso público da NSA pedindo às organizações que corrigissem o mais rápido possível ou enfrentariam o risco de hacking e espionagem.
Outro motivo de preocupação são as falhas de design que não se limitam a nenhum serviço de VPN específico. Por exemplo, as vulnerabilidades TunnelCrack, recentemente descobertas por pesquisadores e que afetam muitas VPNs corporativas e de consumo, podem permitir que os invasores enganem as vítimas para que enviem seu tráfego para fora do túnel VPN protegido, espionando suas transmissões de dados.
Atualizações críticas de segurança são necessárias para tapar esses tipos de brechas de segurança, portanto, é imperativo que você fique por dentro delas.
A conscientização dos funcionários também é fundamental, pois os criminosos às vezes usam sites falsos para induzir os funcionários a fornecer suas credenciais de login de VPN. Além disso, o roubo do dispositivo de um funcionário pode ser uma chave para se infiltrar em redes internas e comprometer ou vazar dados, ou espionar discretamente as atividades da empresa.
Proteção de dados
Uma empresa não deve confiar apenas em sua VPN como meio de proteger seus funcionários e informações internas, mesmo que ela não substitua a proteção regular de endpoints ou outros métodos de autenticação.
Uma avaliação de vulnerabilidade e uma solução de correção devem ser consideradas; as atualizações de segurança emitidas pelos fornecedores de software, incluindo os provedores de VPN, são relevantes. Em outras palavras, a manutenção regular e as atualizações de segurança são uma das melhores maneiras de minimizar as chances de um incidente cibernético bem-sucedido.
Medidas adicionais para fortalecer a VPN
A CISA (Cybersecurity and Infrastructure Security Agency, Agência de Segurança Cibernética e de Infraestrutura) e a NSA (National Security Agency, Agência de Segurança Nacional dos EUA) têm um folheto prático que descreve várias precauções, incluindo: redução da superfície de ataque; uso de criptografia forte para codificar dados corporativos confidenciais; autenticação forte, como um segundo fator adicionado na forma de um código de uso único; e monitoramento do uso da VPN.
É aconselhável usar uma VPN que atenda aos padrões do setor e seja de um provedor confiável com histórico comprovado de seguir as práticas recomendadas de cibersegurança.
Nenhum software de VPN garante proteção perfeita e não se deve confiar nele apenas para o gerenciamento de acesso. É vantajoso incorporar também o modelo de segurança zero trust que se baseia na autenticação contínua do usuário, bem como em outros controles, incluindo monitoramento contínuo da rede, gerenciamento de acesso privilegiado e autenticação segura em várias camadas.
Além disso, é necessário considerar a segurança oferecida por diferentes VPNs, que podem diferir no que oferecem. Há muito mais sob a superfície do que simplesmente criar uma conexão com um servidor, e cada serviço pode incluir várias medidas de segurança adicionais.
Considerações finais
Embora as VPNs sejam, muitas vezes, um componente essencial do acesso remoto seguro, elas podem ser - especialmente na ausência de outras práticas e controles de segurança - alvos interessantes para os cibercriminosos que desejam invadir as redes corporativas.
Vários grupos de ameaças persistentes avançadas (APT) exploraram recentemente vulnerabilidades conhecidas em softwares de VPN para roubar credenciais de usuários, executar códigos remotamente e extrair informações valiosas. A exploração bem-sucedida dessas vulnerabilidades geralmente abre caminho para acesso mal-intencionado adicional, o que pode levar ao comprometimento em grande escala das redes corporativas.