本文来自微信公众号“GoUpSec”。
根据Zscaler的一份新报告,九成企业担心VPN带来的数据泄漏风险,由于网络犯罪分子利用VPN漏洞的威胁日益增加,企业需要重新评估安全态势并尽快迁移到零信任架构。
九成企业意识到零信任的重要性
报告显示,超过九成(92%)的受访者已经认识到采用零信任网络访问架构(ZTNA)的重要性,但令人担忧的是,许多企业仍在使用VPN进行远程办公和第三方访问,为攻击者提供了大量可利用的攻击面。
“传统防火墙和VPN供应商正在云中构建虚拟VPN,在营销中故意弱化或者隐藏VPN一词,冒充零信任解决方案。企业客户在选购时需要提出正确的问题,确保不会旧瓶装新酒的云端虚拟化产品产生错误的安全感。”报告指出:“为了防范不断演变的勒索软件攻击,企业需要尽快淘汰VPN的使用,优先考虑用户到应用程序的分段,并实施具有完整TLS检查的内联上下文数据丢失防护引擎。”
三分之一勒索软件攻击选择VPN作为入口
近九成(88%)企业对VPN漏洞造成的潜在数据泄漏深表担忧。具体而言,经常使用VPN的企业最担心的威胁是网络钓鱼攻击(49%)和勒索软件攻击(40%)。
近一半的受访企业表示,他们已成为网络攻击者的目标,这些攻击者利用了VPN的过时协议或数据泄露漏洞,其中五分之一的企业在过去一年中遭受过此类攻击。
尤其是勒索软件,已成为企业安全的主要威胁之一,去年有33%的勒索软件攻击选择VPN作为入口。
九成企业担心第三方风险
尽管采取了各种严格的安全措施,但研究表明,90%的企业仍然高度担心第三方供应商被攻击者利用来获得对其网络的间接后门访问。
由于第三方采用不同的安全标准、缺乏对其网络安全实践的可见性以及管理外部第三方访问的复杂性,承包商和供应商等外部用户对企业构成的风险正在累积。
传统的网络安全架构通过网络访问控制来管理对内部应用程序的访问,这意味着访问者只需要在访问点确认其凭据,而这些凭据一旦被盗,就会出现问题。
通过零信任方法,用户可以直接连接到所需应用程序和资源,而无需连接到网络。用户到应用程序和应用程序到应用程序的“直接连接”消除了横向移动的风险,并可防止受感染的设备感染其他资源。此外,在零信任访问架构中,用户和应用程序对互联网来说是不可见的,因此不会被发现或受到攻击。
七成企业计划转向零信任
除了安全问题之外,超过七成(72%)企业用户对其VPN的体验不满意,因为VPN连接缓慢且不可靠。25%的用户因应用程序速度缓慢而感到沮丧,而21%的人则面临频繁的连接中断。
不可靠的互联网连接意味着糟糕的用户体验,导致用户沮丧并降低用户参与度。
此外,身份验证的复杂性和摩擦可能会导致生产力下降、收入减少,并增加用户绕过低效VPN服务而产生的数据丢失风险。
越来越多的企业已经意识到VPN对网络安全、用户体验和业务摩擦的负面影响,开始转向零信任架构。
事实上,高达92%的受访者已经认识到采用零信任方法来保护其资产和数据的重要性,同比增长了12%,近七成(69%)的受访者已处于用零信任网络访问替换当前VPN解决方案的规划阶段。