Breaking News
AMR | Citrix Webinar: The Next New Normal

ผลวิจัยเผย 77% ของบริการ SSL VPN มีความเสี่ยง

VPN นับว่าเป็นเครื่องมือสำคัญที่ช่วยให้พนักงานหรือผู้บริหารสามารถเข้าถึงระบบเครือข่ายขององค์กรจากที่แห่งใดก็ได้ในโลก รวมทั้งช่วยการันตีความมั่นคงปลอดภัยในการเข้าถึงและใช้งาน Resource อย่างไรก็ตาม งานวิจัยของ High-Tech Bridge เผยว่า กว่า 77% ของบริการ SSL VPN ที่ให้บริการทั่วโลกยังคงใช้โปรโตคอล SSLv3 ซึ่งถูก IETF (Internet Engineering Task Force) ปรับให้เป็นโปรโตคอลที่ไม่ปลอดภัยตั้งแต่กลางปี 2015 (RFC 7568)

SSLv3 ถูกพัฒนาขึ้นมาตั้งแต่ปี 1996 ซึ่งปัจจุบันเรียกได้ว่าหมดยุคไปแล้ว และไม่แนะนำให้ใช้งาน หลายมาตรฐานและข้อกำหนดด้านความมั่นคงปลอดภัยสั่งห้ามไม่ให้บริษัทใช้งานโปรโตคอลดังกล่าว เนื่องจากมีช่องโหว่และจุดอ่อนร้ายแรงหลายประกาศ ซึ่งอาจก่อให้เกิดผลเสียร้ายแรงต่อระบบขององค์กรได้

ttt_Cable_was_Cut-Lisa_S
Credit: Lisa S/ShutterStock

รายละเอียดของผลการวิจัยที่สำคัญ

  • ประมาณ 3 ใน 4 (76%) ของ SSL VPN มีการใช้ SSL Certificate แบบ Untrusted ซึ่ง Certificate ดังกล่าวช่วยให้แฮ็คเกอร์สามารถปลอมแปลง VPN Server ขึ้นมาโจมตีแบบ Man-in-the-Middle ได้ เช่น ดักจับทราฟฟิคเพื่อแอบฟังข้อมูล ไม่ว่าจะเป็น ไฟล์ อีเมล และรหัสผ่าน ได้
  • 74% ของ Certificate ยังคงใช้ Digital Signature แบบ SHA-1 ซึ่งถูกพิสูจน์แล้วว่าใช้เวลาแฮ็คได้ในเวลาไม่นาน และหลาย Web Browser ต่างออกมาประกาศว่าเตรียมเลิกใช้งานเร็วๆนี้
  • 41% ของ SSL VPN ใช้กุญแจเข้ารหัส RSA ขนาด 1024 bits ซึ่งถือว่ามีขนาดเล็กมาก กุญแจที่ดี พอทนทนต่อการถูกโจมตีควรมีขนาดไม่ต่ำกว่า 2048 bits
  • 10% ของเซิฟเวอร์ SSL VPN ยังคงใช้ OpenSSL เวอร์ชันที่ได้รับผลกระทบกับช่องโหว่ Heartbleed
  • มีเพียง 3% ที่ผ่านข้อกำหนด PCI-DSS แต่ไม่มี SSL VPN ใดเลยที่ผ่านมาตรฐานด้านความปลอดภัยของ NIST

ที่มา: http://www.infosecurity-magazine.com/news/most-ssl-vpns-are-wildly-insecure/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee Web Security Gateway

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย McAfee Webinar เรื่อง “Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee …

[Video Webinar] พลิกโฉมสถาปัตยกรรม SD-WAN สู่ยุค Cloud ด้วย Dell EMC

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Geton Webinar เรื่อง “พลิกโฉมสถาปัตยกรรม SD-WAN สู่ยุค Cloud ด้วย Dell EMC” พร้อมเรียนรู้ข้อจำกัดของเทคโนโลยี WAN ในปัจจุบัน ทำไม …