免費(fèi)的虛擬私人網(wǎng)絡(luò)（VPN）服務(wù)商Quickfox提供了從國(guó)外訪問(wèn)中國(guó)網(wǎng)站的服務(wù)，它泄露了超過(guò)一百萬(wàn)用戶(hù)的個(gè)人身份信息（PII），這是最近一次的備受關(guān)注的VPN安全故障。這一事件讓很多安全從業(yè)者開(kāi)始質(zhì)疑VPN是否是一項(xiàng)已經(jīng)過(guò)時(shí)了的技術(shù)。

　　研究人員發(fā)現(xiàn)Quickfox錯(cuò)誤配置了VPN服務(wù)的Elasticsearch、Logstash和Kibana（ELK）安全。研究人員解釋說(shuō)，這三個(gè)程序主要是用來(lái)進(jìn)行搜索的。

　　該報(bào)告解釋?zhuān)琎uickfox已經(jīng)在Kibana設(shè)置了訪問(wèn)權(quán)限，但是沒(méi)有為他們的Elasticsearch服務(wù)器設(shè)置同樣的安全措施，這意味著，任何人都可以使用瀏覽器和互聯(lián)網(wǎng)來(lái)訪問(wèn)Quickfox的日志，并提取Quickfox用戶(hù)的敏感信息。

　　研究人員發(fā)現(xiàn)，中國(guó)、印度尼西亞、日本、哈薩克斯坦和美國(guó)的Quickfox的用戶(hù)都受到了影響，并補(bǔ)充說(shuō)此次共有5億條記錄和100GB的數(shù)據(jù)被泄露。

　　報(bào)告中提到，被泄露的數(shù)據(jù)分為兩類(lèi)，主要是電子郵件和電話(huà)號(hào)碼等PII，同時(shí)也有大約30萬(wàn)名Quickfox用戶(hù)設(shè)備上的軟件信息。

　　研究人員在報(bào)告中說(shuō)，泄漏的數(shù)據(jù)暴露了用戶(hù)設(shè)備上安裝的其他軟件的名稱(chēng)、文件位置、安裝日期和版本號(hào)。目前還不清楚為什么VPN要收集這些數(shù)據(jù)，因?yàn)檫@些數(shù)據(jù)對(duì)其功能來(lái)說(shuō)是不必要的，而且這也不是其他VPN服務(wù)的標(biāo)準(zhǔn)做法。

　　VPN有漏洞，但零信任也是個(gè)難題

　　自疫情全球流行以來(lái)，為幫助遠(yuǎn)程工作人員訪問(wèn)其工作系統(tǒng)，各組織對(duì)VPN的使用呈爆炸式增長(zhǎng)，研究人員說(shuō)，在最近的搜索中發(fā)現(xiàn)僅在美國(guó)就有超過(guò)一百萬(wàn)的VPN在線(xiàn)。

　　但是，在Colonial Pipeline等VPN出現(xiàn)安全故障，以及成千上萬(wàn)的Fortinet VPN賬戶(hù)憑證被泄露之后，美國(guó)政府決定進(jìn)行權(quán)衡，并發(fā)布了關(guān)于加固VPN的指導(dǎo)意見(jiàn)，促使企業(yè)安裝具有強(qiáng)大加密和訪問(wèn)管理的服務(wù)。

　　安全分析師認(rèn)為，采用零信任的安全模式是解決對(duì)VPN依賴(lài)的一個(gè)很好的辦法，但這既昂貴又難以實(shí)施。雖然零信任模式可能是一個(gè)更安全的解決方案，但采用它將會(huì)導(dǎo)致更大的維護(hù)和財(cái)務(wù)成本，許多公司可能會(huì)發(fā)現(xiàn)使用VPN是更務(wù)實(shí)的短期解決方案。

　　但有安全專(zhuān)家認(rèn)為，VPN需要完全棄用。他們認(rèn)為這是一個(gè)通往內(nèi)部網(wǎng)絡(luò)的大門(mén)，直接暴露在世界面前，供任何不法分子嘗試攻擊突破。這些都是一些舊的過(guò)時(shí)的訪問(wèn)方式，VPN一次又一次地被攻擊者攻破，如果證書(shū)被泄露或被盜，或發(fā)現(xiàn)了新的漏洞，那么該組織的網(wǎng)絡(luò)就會(huì)被攻破。美國(guó)政府和NIST正在倡導(dǎo)的新的零信任方法，將這個(gè)公共門(mén)戶(hù)關(guān)閉，并在整個(gè)網(wǎng)絡(luò)上產(chǎn)生更強(qiáng)有力的保護(hù)。

　　用戶(hù)的上網(wǎng)行為是一個(gè)很大的不安全因素

　　安全研究人員解釋說(shuō)，員工的行為是另一個(gè)很重要的需要考慮的因素。

　　在未來(lái)，我們必須要考慮到人的因素。IT專(zhuān)業(yè)人士面臨的挑戰(zhàn)是如何讓員工有效地使用技術(shù)。如果VPN太難使用，或使系統(tǒng)變慢，員工很可能就不會(huì)使用它。現(xiàn)在重要的是要找到一個(gè)快速可靠的VPN解決方案，使員工能盡快的適應(yīng)它。同時(shí)，VPN解決方案在易用性和安全性方面都在持續(xù)改進(jìn)。然而，研究人員指出，IT管理員現(xiàn)在應(yīng)該要求員工提高網(wǎng)絡(luò)安全水平，不管這有多煩人。

　　為了防止員工使用VPN連接，以及便于推廣使用另一種更安全的方式，管理員應(yīng)該使更多的系統(tǒng)使用2FA雙因素認(rèn)證，這意味著他們也可以選擇是否在每次登錄時(shí)使用2FA，這對(duì)員工來(lái)說(shuō)更煩人但更安全。定期使用2FA，或在設(shè)備被信任后使用，這對(duì)員工來(lái)說(shuō)更容易，但不太安全。

　　研究人員補(bǔ)充說(shuō)，隨著最近的勒索軟件的攻擊和高知名度的漏洞曝出，如SolarWinds、JBS、Pulse Secure和Kaseya VSA，IT管理員應(yīng)該考慮使用更安全的技術(shù)。這也涉及到如何培訓(xùn)他們的員工去使用較為繁瑣的工具，以及向員工解釋為什么這些措施是必要的，他們可以做什么來(lái)避免自己成為任何類(lèi)型的安全漏洞的受害者。

　　令人不安的是，研究人員預(yù)測(cè)以后可能會(huì)有更多的針對(duì)VPN的攻擊。發(fā)現(xiàn)的漏洞會(huì)隨著時(shí)間的推移而越來(lái)越多。今后，預(yù)計(jì)會(huì)有更多的基于網(wǎng)絡(luò)技術(shù)的漏洞被披露，因?yàn)楹诳蜁?huì)繼續(xù)針對(duì)這些類(lèi)型的設(shè)備進(jìn)行攻擊。