美國資安主管機關 CISA 與 NSA 聯合發布 VPN 資安強化指引,幫助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。
美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA) 與國家安全局(National Seurity Agency, NSA),近日聯合發布 VPN 資安強化指引,旨在協助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。
CISA 與 NSA 在新聞稿中指出,VPN 伺服器是進入各種重要受保護網路的入口,因此經常成為各種駭侵團體攻擊的首選;過往有許多受國家力量資助的「進階持續威脅」(Advanced Persistent Threat, APT)駭侵團體,利用各種 VPN 解決方案的資安漏洞與不當設定,不但可以竊取人員登入資訊、遠端執行任意程式碼、破解經由加密傳輸的資訊、攔截破譯傳輸內容、竊取機敏檔案等等。
該指引詳細列舉了如何選擇安全的 VPN 連線服務,以及強化連線安全性的設定方式,以避免 VPN 遭到駭侵攻擊成功;包括選用由「國家資訊保障伙伴」(National Information Assurance Partnership)經過測試驗證通過的 VPN 產品、導入例如多階段登入驗證以強化登入驗證機制、隨時即時套用各種資安修補更新,以及停用非 VPN 相關功能等方法,以盡力強化 VPN 對抗駭侵攻擊的能力。
新聞稿說,這份指引係提供給美國政府旗下各單位如國防部、國家安全體系(National Security Systems)與各種國防工業基地等單位參考遵循之用,
在這份指引列出的 VPN 合格產品列表中,列出一共 225 種合格產品與服務,包括硬體產品型號、其作業系統或韌體版本等資訊,以供意欲提升資安防護等級的公民營單位參考採購。
- 參考連結
Selecting and Hardening Remote Access VPN Solutions
Product Compliant List: 225 Matches
https://www.niap-ccevs.org/Product/PCL.cfm
NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs
留言列表
資安宣導 (2)
