مقالات

پایان VPN ها

Posted by author-avatar
On ۱۴۰۴/۰۳/۱۷
۰ comments
VPN وی پی ان سیندادسک

چرا دسترسی‌پذیری، ریسک جدید است

سالن کنفرانس RSA 2025 شلوغ و پرجنب‌وجوش بود، هر غرفه‌ای حداکثر امنیت را وعده می‌داد، هر فروشنده‌ای ادعای هوش مصنوعی داشت. اما وقتی در یک اتاق آرام‌تر با دیپن دسای نشستم تا در مورد دسترسی امن صحبت کنیم، او مستقیماً سر اصل مطلب رفت:

«وی‌پی‌ان ‌ها در گذشته طراحی شده‌اند و متاسفانه در معرض دید قرار دارند.» و اضافه کرد «هر چیزی که در معرض دید باشد، قابل سوءاستفاده است!»

دسای مدیر ارشد امنیت در Zscaler است. او ThreatLabz، یکی از شناخته‌شده‌ترین تیم‌های تحقیقاتی در امنیت ابری را رهبری می‌کند. تیم او به تازگی گزارش ریسک VPN 2025 را منتشر کرده است، ارزیابی قاطعی از اینکه چگونه زیرساخت‌های دسترسی از راه دور قدیمی، سازمان‌های مدرن را با شکست مواجه می‌کنند.

اعداد به تنهایی یک نقطه عطف را نشان می‌دهند:

  • ۶۵ درصد سازمان‌ها قصد دارند ظرف ۱۲ ماه آینده VPN ها را حذف کنند.
  • ۸۱ درصد به سمت معماری Zero Trust حرکت می‌کنند
  • ۹۲ درصد نگران این هستند که VPN های پچ نشده منجر به حملات باج افزاری شوند.

اما آن اعداد تیتر خبر نبودند. داستان واقعی چیزی بود که دسای بعداً گفت.

«مشکل VPN ها پیکربندی نادرست نیست. مشکل این است که آنها دقیقاً همانطور که طراحی شده‌اند کار می‌کنند – با قرار دادن کاربران در شبکه. و دقیقا این نقطه ضعف آنهاست.»

از دسترسی تا سطح حمله – شعاع انفجار، کل شبکه است

برای سال‌ها، VPN به عنوان پاسخ پیش‌فرض برای دسترسی از راه دور مطرح گردید. این مکانیزم کاملا قابل استقرار و «به اندازه کافی امن» بود. اما دنیایی که برای آن ساخته شده بودند دیگر وجود ندارد و در محیط کار ترکیبی و ابری امروزی، ابزاری خطرناک است زیرا تونل‌هایی از کاربر به شبکه های داخلی ایجاد می نماید، در واقع VPN ها پس از احراز هویت، دسترسی در سطح شبکه به کاربران اعطا می‌کنند.

«VPN ها شما را به یک برنامه متصل نمی‌کنند.»دسای توضیح داد: «آنها شما را به شبکه وصل می‌کنند – و وقتی آنجا هستید، کل جدول مسیریابی به نفع شما تغییر می‌کند.»

بین سال‌های ۲۰۲۰ تا ۲۰۲۵، Zscaler ThreatLabz بیش از ۴۰۰ آسیب‌پذیری امنیتی (CVE) مرتبط با تجهیزات VPN را ردیابی کرد که توسط برنامه MITRE CVE گزارش شده است. تنها در سال ۲۰۲۴، ۶۰ درصد از آسیب‌پذیری‌های جدید VPN در سطح بالا یا بحرانی ارزیابی شدند. این نقص‌ها به مهاجمان اجازه می‌دادند تا احراز هویت را دور بزنند، اجرای کد از راه دور را به کار گرفته و یا Session ها را به طور کامل سرقت کنند. نفوذگران منتظر نمی‌مانند!

و همانطور که دسای اشاره کرد، مهاجمان اغلب سریع‌تر از آنکه فروشندگان بتوانند وصله‌های امنیتی ارائه دهند، از آنها سوءاستفاده می‌کنند.

«ما شاهد بوده‌ایم که گروه‌های باج‌افزار، وصله‌های فروشندگان VPN را ظرف چند ساعت پس از انتشار، مهندسی معکوس می‌کنند.»او گفت. «آنها لازم نیست منتظر اکسپلویت روز صفر بعدی باشند. فقط باید یادداشت‌های به‌روزرسانی را تماشا کنند.»

در واقع وقتی به واسطه VPN وارد شبکه داخلی می‌شوید، هیچ تقسیم‌بندی داخلی ارائه نمی گردد. هیچ دسترسی مبتنی بر هویت وجود ندارد. هیچ مهاری وجود ندارد.

ما بارها شاهد این اتفاق بوده‌ایم. در ۲۴ ماه گذشته، حملاتی که Citrix، Pulse Secure و Ivanti VPN را هدف قرار داده‌اند، باعث چرخه‌های فوری پچ، قطعی‌های عمده و – حداقل در یک مورد – دستور قطع فیزیکی تجهیزات توسط آژانس‌های فدرال ایالات متحده برای جلوگیری از نفوذ شده است.

«وقتی یک سازمان دولتی به شما می‌گوید دستگاه VPN خود را از برق بکشید،»دسای افزود، «این یک توصیه امنیتی نیست. این یک آگهی ترحیم است.»

طرح کلی نقض امنیتی: چهار مرحله از بهره‌برداری

چیزی که امروزه VPN ها را بسیار خطرناک می‌کند، فقط قابل دسترس بودن آنها نیست، بلکه چیزی است که پس از نفوذ فعال می‌کنند. دسای آن را مانند یک طرح کلی تجزیه و تحلیل می‌کند، زیرا دقیقاً همان چیزی است که مهاجمان آن را می‌بینند:

  1. یک سرور VPN در معرض دید پیدا کنید: اینترنت را جستجو کنید یا از یک LLM که در مورد فراداده‌های CVE آموزش دیده است، پرس و جو کنید.
  2. دستگاه را مورد نفوذ قرار دهید: از طریق اعتبارنامه‌ها، فیشینگ یا یک سوءاستفاده شناخته‌شده
  3. بکارگیری حرکت جانبی: زیرا VPN ها شما را در شبکه داخلی با دسترسی گسترده قرار رها می کنند.
  4. استخراج یا رمزگذاری: سرقت داده‌ها یا اجرای باج‌افزار.

«اگر دستگاه شما مورد نفوذ قرار گرفته است،»دسای هشدار داد، «شعاع انفجار تمام چیزی است که VPN شما می‌تواند در شبکه به آن دسترسی پیدا کند. و در مورد اکثر VPN ها، این مقدار بسیار زیاد خواهد بود.»

هوش مصنوعی در حال تغییر قوانین و شکستن مدل قدیمی است

دسای همچنین تأکید کرد که مهاجمان نه تنها با روش‌های دفاعی قدیمی سازگار می‌شوند، بلکه به طور خودکار از آنها عبور می‌کنند.

«ما همین الان هم شاهد استفاده‌ی عوامل تهدید از هوش مصنوعی برای شناسایی گسترده هستیم.»او گفت. «آنها از مدل‌های GPT برای پرس‌وجو از پایگاه‌های داده CVE، برنامه‌ریزی حملات و تولید اکسپلویت‌های کارآمد، سریع‌تر از آنچه اکثر تیم‌ها می‌توانند وصله کنند، استفاده می‌کنند.»

در این عصر جدید، مهاجمان دیگر نیازی به هفته‌ها تحقیق دستی ندارند. آن‌ها می‌توانند ۱۰۰۰ اسکن خودکار اجرا کنند، سیستم‌های آسیب‌پذیر را پیدا کنند و در مقیاس وسیع حمله کنند.

«آنها به نرخ شکست ۸۰ درصدی اهمیتی نمی‌دهند.»دسای اضافه کرد: «اگر از هر ۱۰۰ حمله، ۲۰ حمله موفقیت‌آمیز باشد، آنها پیروز می‌شوند. اما ما نمی‌توانیم به این شکل عمل کنیم. ما باید از همه چیز دفاع کنیم.»

و اگرچه مدافعان نیز از هوش مصنوعی برخوردارند، امتیازدهی ریسک، تشخیص ناهنجاری، تولید خودکار سیاست دسای به روشنی بیان کرد که هوش مصنوعی دفاعی تنها زمانی کار می‌کند که معماری ساده شده باشد.

«از هوش مصنوعی برای مبارزه با هوش مصنوعی استفاده کنید»او افزود، «اما برای رفع مشکل یک مدل دسترسی خراب، به هوش مصنوعی تکیه نکنید. شما ابتدا به Zero Trust نیاز دارید، زیرا اگر زیرساخت شما قابل دسترسی باشد، شما از قبل باخته‌اید.»

اینجاست که Zero Trust کاری بیش از کاهش ریسک انجام می‌دهد. قابلیت مشاهده را از بین می‌برد. ورود را مسدود می‌کند. قبل از اینکه مهاجم دکمه‌ی «Enter» را فشار دهد، نقشه‌ی راه او را می‌شکند.

هزینه خاموش: شکنندگی عادی‌شده، ریسک نهادی

دیدگاه دسای فقط مربوط به تهدیدات خارجی نیست. او به چیزی که آن را «شکست خاموش» VPN ها می‌نامید اشاره کرد: هزینه روزمره‌ای که آنها بر فناوری اطلاعات، امنیت و کاربران نهایی تحمیل می‌کنند.

«ما شکنندگی را عادی‌سازی کرده‌ایم»او به من گفت. «جلسات لغو شده، عملکرد کند، درخواست‌های بی‌پایان پشتیبانی، همه اینها فقط به عنوان هزینه دورکاری دیده می‌شود. اما لازم نیست اینطور باشد.»

طبق گزارش ریسک VPN:

  • ۵۴٪ از تیم‌ها می‌گویند VPN ها منبع مکرر قطعی یا افزایش پشتیبانی هستند.
  • ۴۱٪ نگهداری VPN را عامل اصلی هدر رفتن منابع داخلی می‌دانند.
  • ۵۱٪ از کاربران از کاهش عملکرد برنامه خبر می‌دهند
  • ۲۳٪ می‌گویند VPN مستقیماً بر بهره‌وری آنها تأثیر می‌گذارد

مشکل فقط تونل VPN نیست، بلکه معماری اطراف آن است – معماری‌ای که نیاز به وصله‌های مداوم دارد، IP های عمومی را افشا می‌کند و فرض می‌کند که هر کاربر احراز هویت شده به اندازه کافی برای حضور در شبکه قابل اعتماد است.

دسای گفت: «تیم‌های امنیتی در وصله کردن سیستم های کاربران گیر افتاده‌اند. تیم‌های پشتیبانی در تیکت‌ها دفن شده‌اند. در همین حال، مهاجمان از هوش مصنوعی برای مقیاس‌بندی عملیات شناسایی استفاده می‌کنند. این یک مبارزه عادلانه نیست.»

ریسک ارثی: قرار گرفتن در معرض شخص ثالث

یک حالت خرابی دیگر هم وجود دارد که دسای آن را به همان اندازه خطرناک و بسیار کمتر قابل مشاهده می‌داند: VPN ها به عنوان درهای پشتی برای ریسک شخص ثالث.

«اگر پیمانکاران شما از طریق VPN متصل شوند، شما فقط برنامه‌های خود را در معرض خطر قرار نمی‌دهید.»او گفت. «شما هر آسیب‌پذیری موجود در محیط‌های آنها را به ارث می‌برید.»

در یک حادثه مربوط به سال ۲۰۲۴ که در این گزارش به آن اشاره شده است، یک شرکت خدمات مالی پس از سوءاستفاده مهاجمان از یک اتصال VPN شخص ثالث، دچار نقض امنیتی شد و داده‌های نزدیک به ۲۰،۰۰۰ مشتری را افشا کرد.

و این ریسک در طول ادغام‌ها و تملک‌ها تشدید می‌شود.

«مهاجمان اخبار را رصد می‌کنند»دسای گفت. «وقتی یک خرید اعلام می‌شود، آنها شرکت کوچک‌تر را هدف قرار می‌دهند. این شرکت کوچک‌تر، کم‌حفاظت‌تر است و معمولاً از طریق VPN به شرکت مادر متصل می‌شود. این پل ارتباطی است – و هیچ‌کس آن را تماشا نمی‌کند.»

چه اتفاقی می‌افتد وقتی VPN از بین می‌رود؟

دسای یک مثال واضح ارائه داد: ManpowerGroup، یک شرکت جهانی با بیش از 30،000 کاربر، تنها در 18 روز به طور کامل از VPN سنتی به Zscaler Private Access (ZPA) منتقل شد.

تأثیر این تغییر فقط در سرعت بیشتر ورود به سیستم یا ساده‌سازی مدیریت نبود، بلکه در معماری آن نیز تأثیرگذار بود.

  • هیچ آدرس IP در معرض دید وجود ندارد
  • دسترسی به شبکه جانبی وجود ندارد
  • کاهش ۹۷ درصدی درخواست‌های پشتیبانی مربوط به دسترسی از راه دور
  • دسترسی به برنامه بر اساس هویت و سیاست – نه مسیریابی در سطح شبکه

«وقتی ایده «در شبکه بودن» را از بین می‌برید،»دسای افزود: «شما زمین بازی مهاجم را از بین می‌برید.»

بعدی: پایان VPN ها – فراتر از هیاهوی اعتماد صفر

در بخش دوم این مجموعه، نه فقط در برندسازی، بلکه در معماری عمیق‌تر به بررسی چگونگی جایگزینی Zero Trust با VPN ها خواهیم پرداخت. بررسی خواهیم کرد که Zscaler چگونه Zero Trust را در عمل به کار می‌گیرد، چرا هویت – نه زیرشبکه – محیط جدید است، و چگونه سازمان‌ها از تقسیم‌بندی برنامه و فریب برای متوقف کردن حرکت جانبی قبل از شروع آن استفاده می‌کنند.

زیرا آینده دسترسی امن، ساخت تونل‌های امن‌تر نیست، بلکه حذف کامل نیاز به تونل‌های VPN است.

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.