【概要描述】

    2019年8月，國(guó)外安全研究人員公布了針對(duì)全球知名VPN - Pulse Secure SSL VPN的多個(gè)漏洞說(shuō)明，其中一個(gè)安全漏洞引起了廣泛關(guān)注。利用這個(gè)編號(hào)為 CVE-2019-11510的漏洞，黑客可以在未經(jīng)身份校驗(yàn)的前提下獲取系統(tǒng)敏感信息，如獲得服務(wù)器配置，讀取登錄驗(yàn)證緩存并且拿到系統(tǒng)高級(jí)權(quán)限等。

    由于Pulse Secure SSL VPN的全球用戶(hù)眾多，其中不乏美國(guó)政府機(jī)構(gòu)等對(duì)網(wǎng)絡(luò)安全極其敏感的部門(mén)，漏洞一經(jīng)紕漏，全網(wǎng)風(fēng)聲鶴唳。據(jù)悉漏洞發(fā)生的時(shí)候，美國(guó)宇航局有超過(guò)十臺(tái)帶了這個(gè)漏洞版本的服務(wù)器暴露在公網(wǎng)，其保護(hù)的內(nèi)網(wǎng)是否被攻擊者滲透我們無(wú)從得知，但作為遠(yuǎn)程內(nèi)網(wǎng)訪問(wèn)的傳統(tǒng)安全工具，VPN本身的漏洞問(wèn)題一直層出不窮。VPN安全漏洞就像懸掛在用戶(hù)頭頂?shù)倪_(dá)摩克利斯之劍，一但被攻擊者所利用，企業(yè)的內(nèi)網(wǎng)就像失去了大門(mén)的城堡，任由黑客出入，后果不堪設(shè)想。

    經(jīng)過(guò)研究CVE-2019-11510安全漏洞產(chǎn)生的原因，專(zhuān)家們發(fā)現(xiàn)這是由于產(chǎn)品在迭代中引入了一項(xiàng)通過(guò)瀏覽器訪問(wèn)其他端口的新功能時(shí)缺乏安全限制所導(dǎo)致的。在這里我們不去討論產(chǎn)品研發(fā)過(guò)程中DevSecOps的重要性，也暫且認(rèn)為這些漏洞只是bug引起的一連串連鎖反應(yīng)。但是，隨著近10年移動(dòng)互聯(lián)網(wǎng)的興起和遠(yuǎn)程辦公的日益常態(tài)化，VPN產(chǎn)品作為傳統(tǒng)網(wǎng)絡(luò)邊界安全架構(gòu)中的重要模塊，一直是被網(wǎng)絡(luò)攻擊者所研究的重點(diǎn)。

    例如某企業(yè)的SSL VPN服務(wù)端部署在企業(yè)網(wǎng)絡(luò)DMZ區(qū)，需要對(duì)外常開(kāi)443端口，以便VPN客戶(hù)端能夠隨時(shí)連接，驗(yàn)證合法身份后建立加密隧道。由于VPN服務(wù)器有端口長(zhǎng)期暴露在公網(wǎng)，這就給了攻擊者可乘之機(jī)。攻擊者可以在公網(wǎng)通過(guò)端口掃描工具，嗅探服務(wù)端的信息如服務(wù)器操作系統(tǒng)及版本等，再利用操作系統(tǒng)的已知漏洞，為進(jìn)一步攻擊提供突破口。

    云涌零信任安全管理平臺(tái)基于先進(jìn)的零信任理念，采用軟件定義邊界即SDP網(wǎng)絡(luò)安全架構(gòu)。其獨(dú)特的服務(wù)隱藏技術(shù)，可以有效防止端口掃描和tcp協(xié)議本身的漏洞攻擊等，使黑客“無(wú)從下手”，同時(shí)又確保“合法”用戶(hù)及設(shè)備可以順利訪問(wèn)受保護(hù)服務(wù)。

場(chǎng)景：遠(yuǎn)程辦公網(wǎng)絡(luò)接入安全

    作為中小企業(yè)的IT主管，為了應(yīng)對(duì)后疫情時(shí)代員工及合作伙伴越來(lái)越多的遠(yuǎn)程辦公需求，我需要給公司上一套網(wǎng)絡(luò)接入系統(tǒng)，使員工在家也能隨時(shí)查看內(nèi)部文檔，并使用內(nèi)網(wǎng)OA提交合同審批流程；合作伙伴在異地也能方便的同我們進(jìn)行加密視頻會(huì)議，并臨時(shí)獲得內(nèi)網(wǎng)某些系統(tǒng)的訪問(wèn)權(quán)限。但是我有些擔(dān)心，畢竟之前大家都是在辦公區(qū)通過(guò)公司設(shè)備直連辦公網(wǎng)絡(luò)（內(nèi)網(wǎng)）的，現(xiàn)在通過(guò)互聯(lián)網(wǎng)接入，內(nèi)網(wǎng)系統(tǒng)被攻擊和敏感數(shù)據(jù)被竊取怎么辦？

場(chǎng)景：遠(yuǎn)程辦公系統(tǒng)部署便捷

    面對(duì)突如其來(lái)的疫情，集團(tuán)決定臨時(shí)安排所有員工在家辦公。作為信息中心負(fù)責(zé)人，我知道當(dāng)前部署的VPN能力不足以支撐這么多用戶(hù)同時(shí)使用，畢竟之前支持的場(chǎng)景是方便一部分出差在外的員工可以臨時(shí)訪問(wèn)內(nèi)網(wǎng)。如何在短時(shí)間內(nèi)快速擴(kuò)展集團(tuán)的遠(yuǎn)程網(wǎng)絡(luò)接入能力，并保證網(wǎng)絡(luò)接入的高可用性？

    隨著后疫情時(shí)代的到來(lái)，居家辦公遠(yuǎn)程接入的場(chǎng)景越來(lái)越普遍，歡迎大家體驗(yàn)云涌零信任安全管理平臺(tái)，一個(gè)比VPN更好的遠(yuǎn)程辦公解決方案。

關(guān)于云涌

    云涌科技是一家以嵌入式技術(shù)為背景，提供工業(yè)信息安全和工業(yè)物聯(lián)網(wǎng)解決方案的高新技術(shù)企業(yè)。公司2004年成立，總部位于江蘇泰州，在北京、鄭州、南京，泰州、深圳設(shè)有研發(fā)中心或生產(chǎn)基地。2020年在上海證券交易所科創(chuàng)板成功上市（股票代碼688060）。

    云涌科技擁有成熟的基于ARM、PowerPC、MIPS、龍芯、飛騰等嵌入式開(kāi)發(fā)平臺(tái)，具備FPGA密碼卡設(shè)計(jì)，零信任安全架構(gòu)，可信計(jì)算等核心技術(shù)。產(chǎn)品包括：基于可信的工業(yè)信息安全設(shè)備、加密卡及相關(guān)密碼組件、基于零信任的邊緣計(jì)算機(jī)及工業(yè)物聯(lián)網(wǎng)方案。在能源電力、交通物流、石油石化、智慧城市等行業(yè)，云涌科技不斷為客戶(hù)提供更加優(yōu)秀的產(chǎn)品和技術(shù)服務(wù)，與客戶(hù)合作共贏，聚創(chuàng)未來(lái)。

• 分類(lèi)：行業(yè)動(dòng)態(tài)
• 作者：
• 來(lái)源：
• 發(fā)布時(shí)間：2021-01-19
• 訪問(wèn)量：2355