也許 Ivanti 零時差漏洞目前並未獲得應有的關注,但它卻有可能帶來嚴重而真實的威脅。此漏洞的一大問題就是,它目前主要的防範手段就只能套用修補更新,除非您已建置了 IPS 技術來保護您的 VPN 伺服器。截至 1 月 18 日為止,目前已知最佳的作法是從已備份的系統映像來重灌您的 Ivanti 閘道並重建至最新版本。此外,根據最新的消息指出,除了原先攻擊此漏洞的駭客之外,已經有其他駭客很可能也開始利用 1 月 16 日所公開的概念驗證程式碼。如需有關矯正步驟的更多資訊,請參閱:CVE-2023-46805 和 CVE-2024-21887 相關的復原步驟。
不過,令人擔心的主要問題不單只有這個漏洞。回顧去年,VPN 漏洞的數量以及被攻擊得逞的次數相當驚人。這類漏洞經常被人忽略,尤其在企業、醫院、學校或政府機關這樣的環境,因為他們的系統管理員也許並非每天都緊盯著威脅情勢的發展,因此有必要採取一種更有效的作法。
那麼我們該怎麼做? 傳統 VPN 可讓使用者毫無管制地存取整個網路。更安全的作法是建立一個私密網路,這網路僅提供某些特定資源的存取權限 (由 IT 人員決定)。最低授權原則固然很好,但每家企業都有各種內部因素使得該原則要落實並不容易。例如,美國證券交易委員會 (SEC) 的 X 帳號才遭遇到 SIM 卡偷換 (SIM swap) 攻擊,像這麼重要的電話號碼其實應該要經過多道認證手續才能允許更換 SIM 卡。
想像一種情境:使用者不須經由 VPN 就能存取企業資源,例如經由某個網站入口,但這個網站入口隨時都受到嚴密監管以偵測任何可疑行為。只要有一點點安全疑慮,資安系統就立即關閉入口網站或使用者帳號,或者甚至封鎖裝置。
Trend Micro™ Zero Trust Secure Access 能革命性改變企業建置網路防護的方式。這套框架的能力已超越我們的想像,例如,我可以幫我的遠端桌面協定 (RDP) 用戶端設定存取權限與認證。一有問題,不論是網路存取權限,或是裝置和使用者帳號都會遭到封鎖。
這樣的作法可以防止單一漏洞演變成重大的資安危機。除此之外,我還能定義一些參數來設定可接受的裝置風險程度。如果裝置含有漏洞或已經遭駭,那麼它的網路存取權限以及所有相關的使用者帳號都會立即受到限制。導入零信任方法也許需要花費一番心力,但就目前世界正在發展的方向來看,這是一項必要、且重要的措施。
關於 Ivanti 漏洞,讓我們用趨勢科技來提供一個假設情境:假設某個使用 Trend Vision One ™ 的客戶收到了一個攻擊面相關的通知告知他們有關 Ivanti 漏洞及其衝擊的資訊,並建議他們修補該漏洞。該漏洞從 2023 年 12 月 3 日就已經遭到攻擊,但卻到了 2024 年 1 月才曝光。此時,客戶就可使用 Trend Micro™ Zero Trust Secure Access 來調整其關鍵應用程式與網站應用程式的存取規則。
這項模組化的代理器 (proxy) 設定,可嚴密監控加密網路流量並根據教戰手冊來採取行動,進而防止駭客入侵,萬一駭客已經入侵,也可防止他們在網路內部橫向移動。