ผลวิจัยเผย 77% ของบริการ SSL VPN มีความเสี่ยง

VPN นับว่าเป็นเครื่องมือสำคัญที่ช่วยให้พนักงานหรือผู้บริหารสามารถเข้าถึงระบบเครือข่ายขององค์กรจากที่แห่งใดก็ได้ในโลก รวมทั้งช่วยการันตีความมั่นคงปลอดภัยในการเข้าถึงและใช้งาน Resource อย่างไรก็ตาม งานวิจัยของ High-Tech Bridge เผยว่า กว่า 77% ของบริการ SSL VPN ที่ให้บริการทั่วโลกยังคงใช้โปรโตคอล SSLv3 ซึ่งถูก IETF (Internet Engineering Task Force) ปรับให้เป็นโปรโตคอลที่ไม่ปลอดภัยตั้งแต่กลางปี 2015 (RFC 7568)

SSLv3 ถูกพัฒนาขึ้นมาตั้งแต่ปี 1996 ซึ่งปัจจุบันเรียกได้ว่าหมดยุคไปแล้ว และไม่แนะนำให้ใช้งาน หลายมาตรฐานและข้อกำหนดด้านความมั่นคงปลอดภัยสั่งห้ามไม่ให้บริษัทใช้งานโปรโตคอลดังกล่าว เนื่องจากมีช่องโหว่และจุดอ่อนร้ายแรงหลายประกาศ ซึ่งอาจก่อให้เกิดผลเสียร้ายแรงต่อระบบขององค์กรได้

ttt_Cable_was_Cut-Lisa_S
Credit: Lisa S/ShutterStock

รายละเอียดของผลการวิจัยที่สำคัญ

  • ประมาณ 3 ใน 4 (76%) ของ SSL VPN มีการใช้ SSL Certificate แบบ Untrusted ซึ่ง Certificate ดังกล่าวช่วยให้แฮ็คเกอร์สามารถปลอมแปลง VPN Server ขึ้นมาโจมตีแบบ Man-in-the-Middle ได้ เช่น ดักจับทราฟฟิคเพื่อแอบฟังข้อมูล ไม่ว่าจะเป็น ไฟล์ อีเมล และรหัสผ่าน ได้
  • 74% ของ Certificate ยังคงใช้ Digital Signature แบบ SHA-1 ซึ่งถูกพิสูจน์แล้วว่าใช้เวลาแฮ็คได้ในเวลาไม่นาน และหลาย Web Browser ต่างออกมาประกาศว่าเตรียมเลิกใช้งานเร็วๆนี้
  • 41% ของ SSL VPN ใช้กุญแจเข้ารหัส RSA ขนาด 1024 bits ซึ่งถือว่ามีขนาดเล็กมาก กุญแจที่ดี พอทนทนต่อการถูกโจมตีควรมีขนาดไม่ต่ำกว่า 2048 bits
  • 10% ของเซิฟเวอร์ SSL VPN ยังคงใช้ OpenSSL เวอร์ชันที่ได้รับผลกระทบกับช่องโหว่ Heartbleed
  • มีเพียง 3% ที่ผ่านข้อกำหนด PCI-DSS แต่ไม่มี SSL VPN ใดเลยที่ผ่านมาตรฐานด้านความปลอดภัยของ NIST

ที่มา: http://www.infosecurity-magazine.com/news/most-ssl-vpns-are-wildly-insecure/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

มากกว่า Patch Management – จัดการอุปกรณ์อย่างครบวงจรด้วย HCL BigFix Unified Endpoint Management จาก Digitech One

โลกยุคดิจิทัลหลังผ่านวิกฤต COVID-19 เปิดโอกาสให้พนักงานทำงานจากภายนอกองค์กรและใช้อุปกรณ์ของตัวเอง (BYOD) มากขึ้น การบริหารจัดการอุปกรณ์ที่มีความหลากหลาย ทั้งอุปกรณ์พกพา คอมพิวเตอร์ในออฟฟิศ และเซิร์ฟเวอร์บนคลาวด์ให้เป็นไปตามนโยบายและข้อบังคับของบริษัท โดยเฉพาะการจัดการ Software License และ Security Patch …

Citrix ผนวก deviceTRUST และ strong.network เสริมแกร่งความมั่นคงปลอดภัย Zero-Trust 

Citrix Systems หน่วยธุรกิจของ Cloud Software Group ประกาศเข้าซื้อกิจการเชิงกลยุทธ์สองแห่ง ได้แก่ deviceTRUST และ strong.network เพื่อตอบสนองความท้าทายในการมอบความมั่นคงปลอดภัยแบบ Zero-Trust สำหรับสภาพแวดล้อมการทำงานแบบไฮบริด