发现企业VPN易受攻击：您的是吗？

当你在网上采取的保护自己的措施不安全时，你会怎么做？

这正是Pulse Secure Connect、Cisco AnyConnect和Palo Alto Networks的客户几个月前所问的问题。似乎是某个缺陷导致身份验证和会话cookie不安全地存储在企业VPN客户端的用户日志文件中。其中两个提供商已经发布了修补漏洞的更新，但问题仍然是：

这种情况还会发生吗？

答案似乎是响亮的"是"，当你考虑一份CERT/CC事故报告时，该报告警告说该缺陷仍可能影响230多家其他供应商的产品。你的是其中之一吗？

该漏洞是国防ISAC远程访问工作组发现的，事件于2019年4月10日公开。目前还没有太多的细节，但该漏洞不正确地存储会话和身份验证信息，以欺骗用户并访问他们的浏览会话，包括在线帐户。

漏洞与出售数据

数字隐私领域的另一个令人担忧的趋势是供应商出售客户端数据。即使是盈利能力很强的公司也开始通过向第三方软件公司出售用户数据来实现双重盈利。其中一家公司是Avast，该公司曾向多家美国企业出售数据，包括敏感的财务信息。Hosting Canada发布的一份2019年VPN报告显示，大数据分析，超过1/3的商业VPN出售客户数据，几乎所有免费VPN出售数据。

通过使用传递哈希攻击或劫持身份验证和/或会话cookie，访问应用程序存储的黑客可以霸占用户计算机并访问帐户密码等敏感数据，信用卡信息，甚至他们的名字和地址。这可以从任何位置远程完成。尽管已知受到影响的公司已经修补了该漏洞，但唯一可靠的解决方案是防止用户安装易受攻击的应用程序。

尽管企业网络安全取得了新进展，但没有什么是100%无法穿透的。然而，除了一家已知受到影响的公司外，其他所有公司都发布了更新来纠正缺陷。Palo Alto Networks GlobalProtect Agent 4.1.1版和macOS 4.1.11及更高版本的用户可以在此处找到他们的补丁。Pulse安全桌面客户端和网络连接用户可以到这里进行修复。唯一的异类，思科AnyConnect，还没有发布任何信息来帮助他们的客户。它会影响到使用4.7.x及以前版本的客户。

在许多国家，您的ISP和政府机构可以窥探您的活动，除非您有什么东西可以隐藏您的IP地址和位置。这就是为什么许多人选择虚拟专用网络。它们不仅允许您在旅行期间访问地理位置封锁的帐户，还允许持不同政见者和其他生活在压迫政权下的人免费和不受限制地访问网站和互联网。

我们在安装他们的应用程序时依靠VPN来保护我们的隐私和安全。虽然如果你选择一个信誉良好的服务提供商，你不太可能遇到问题，但没有什么是故障安全的。在注册之前，您应该问一些问题，例如：

您是否存储了任何可以通过IP地址或时间戳识别用户的信息？如果是，你会储存什么？储存多长时间？贵公司在5、9或14个国家有管辖权吗？您使用什么类型的加密、身份验证和泄漏保护？您是否有义务与第三方分享我的任何信息或活动？和谁在一起，在什么条件下？您使用什么工具来监控和消除滥用您的网络？

添加到该列表的问题是"如何存储身份验证和会话信息？"

当你支付保护费的公司不能保证你的安全时，你必须自己处理事情。一旦你确信你的VPN服务提供了他们承诺的所有安全和隐私保护，你就可以在你的VPN上安装额外的安全措施。首先，服务器，您可以学习如何在安装VPN后检查数据泄漏。应定期这样做，云服务器和普通服务器，以确保在整个合同期间提供统一的保护。

此外，您可以通过以下五种安全最佳实践来保护您自己和连接到网络的其他设备：

第一道防线是保护连接到您网络的任何设备。这意味着确保员工的BYOD权限受到限制，使用最佳做法创建密码，添加2F身份验证和密码应用程序，并为业务使用和来宾配置单独的网络。

除了保护您的设备不受渗透外，还应保护他们连接的网络。您可以直接在大多数路由器上安装VPN，并在这些设备上安装移动VPN，特别是当您要在旅行或远程办公时访问公共网络时。确保您的网络上也有防火墙，并保持所有固件的最新状态。

您知道任何连接到您的网络的物联网设备都为黑客进入您的系统提供了新的途径吗？大多数人不会三思而后行保护他们的恒温器，返利模式，电动开罐器，或家庭影院，但任何网络连接的智能设备应放置在一个独立的网络从您的家庭或商业电信设备，并通过VPN操作。在Alexa和Siri这样的虚拟助理面前，要小心你说的话。