<p><img style=”margin: 5px auto; vertical-align: middle; display: block;” src=”https://pimenta.com/wp-content/uploads/2021/07/VPN-750×422-1-750×400.jpg” alt=”” width=”300″ />Não por acaso, diante das desvantagens, as VPNs, segundo levantamento da Gartner, devem ser eliminadas em favor do Perímetro Definido por Software (SDP) em 60% das empresas até 2023. Nesse contexto, a adoção de uma abordagem Zero Trust, ou seja, presumir que todo acesso pode ser comprometido, é fundamental para afastar as ameaças.</p>
<p>Por isso, recomendamos a troca de dispositivos VPN por um Perímetro Definido por Software. Isso permite a implementação de políticas de segurança fortes para cada sistema que o colaborador tente acessar, por meio de requisitos diferentes dependendo da função exercida, do dispositivo usado e do sistema que deseja acessar, limitando o acesso apenas ao que é necessário para realizar um trabalho.</p>
<p>Essas recomendações fazem parte de uma abordagem Zero Trust, que adota medidas de segurança adicionais, como autenticação multifator, para garantir que o acesso seja de um funcionário real, e segmenta a rede para que o dano seja contido, caso um sistema seja comprometido, de forma que o invasor não possa se mover lateralmente.</p>
<p>As principais investidas contras as VPNs atualmente podem ser agrupadas em três cenários, exigindo diferentes medidas de segurança:</p>
<p><strong>Dispositivo VPN exposto à internet contém uma vulnerabilidade:</strong> a ação permite que um invasor obtenha acesso à rede executando uma exploração. Recentemente, ocorreram inúmeros casos de exploração do CVE-2021-20016 (afetando o SonicWall SSLVPN) pelo grupo criminoso DarkSide, e também do CVE-2021-22893 (afetando o Pulse Secure VPN), explorado por mais de 12 diferentes cepas de malware. Para estar protegido neste cenário, é importante manter todos os softwares de terceiros atualizados, limitando o uso de vulnerabilidades conhecidas.<br /><br /><strong>Credenciais de colaboradores comprometidas:</strong> ocorre, por exemplo, em um vazamento de mídia social em que o funcionário usa a mesma senha para a VPN da empresa, de modo que um invasor pode personificar o usuário para executar comandos nos sistemas permitidos. Neste caso, é essencial implementar mecanismos de autenticação multifator para garantir que o usuário real esteja tentando se autenticar e não um invasor se passando por ele por meio de credenciais vazadas. Políticas de senha fortes e senhas que expiram periodicamente são muito importantes, pois tornam mais difícil para um invasor adivinhar as credenciais. No entanto, essas políticas não resolvem totalmente o problema, pois um invasor habilidoso pode recuperar credenciais vazadas recentemente ou até mesmo adivinhar a senha atual usada com base em amostras antigas.<br /><br /><strong>Máquina infectada:</strong> o computador de um colaborador pode ser comprometido por meio de um spam, e o ataque é realizado assim que a VPN é conectada. Esse é um cenário um pouco mais complexo de lidar. Primeiro, é preciso treinar os funcionários contra ataques de engenharia social para que possam evitar a infecção por meio de mensagens de phishing e spam. No lado da infraestrutura, é preciso usar a autenticação multifator para validar o acesso aos sistemas. Por exemplo, exigir um token 2FA (dois fatores) quando o colaborador tentar se conectar a um novo sistema para garantir que um malware não esteja usando a mesma conexão para mirar ou fazer a varredura de outros sistemas. Finalmente, limitar o acesso do usuário ao que uma pessoa precisa para fazer seu trabalho, ou “acesso com privilégios mínimos”, evitando sistemas confidenciais que o usuário nem precisa acessar.</p>
<p>Ninguém dimensionou o uso da VPN para usuários de toda uma empresa, como tem ocorrido agora. Trata-se de uma tecnologia que nasceu em 1996 e que não acompanhou a evolução tecnológica, por isso, uma atualização é necessária. O Perímetro Definido por Software é focado na identidade do usuário, oferece autorizações online para conceder acesso ou revogar o acesso de maneira constante e adaptável, além de disponibilizar conexão segura de ponta a ponta, sendo a opção ideal para substituição das VPNs.<br /><br /><em>(*) Diretor de vendas e canais para o Brasil da Appgate.</em><br /><br /><br /><br /><br /></p>
