7 Alternatif VPN untuk Mengamankan Akses Jaringan Jarak Jauh – Setelah menjadi bahan pokok untuk mengamankan karyawan yang bekerja dari jarak jauh, VPN dirancang untuk menyediakan akses aman ke data dan sistem perusahaan untuk sebagian kecil tenaga kerja sementara sebagian besar bekerja dalam batasan kantor tradisional.
7 Alternatif VPN untuk Mengamankan Akses Jaringan Jarak Jauh
Baca Juga : Konsumen Selesai Dengan Kata Sandi, Siap untuk Otentikasi yang Lebih Inovatif
idecosystem – Perpindahan ke kerja jarak jauh massal yang disebabkan oleh COVID-19 pada awal 2020 mengubah banyak hal secara dramatis. Sejak itu, sudah menjadi norma bagi sejumlah besar karyawan untuk secara teratur bekerja dari rumah, dengan banyak yang hanya pergi ke kantor secara sporadis (jika ada).
VPN tidak cukup untuk kerja jarak jauh dan lanskap hibrid, dan ketergantungan yang berlebihan pada VPN untuk mengamankan sejumlah besar karyawan yang bekerja dari rumah menimbulkan risiko yang signifikan. “VPN awalnya membantu perusahaan mengelola beberapa karyawan atau kontraktor pihak ketiga yang membutuhkan akses jarak jauh ke sistem tertentu saat bekerja dari jarak jauh,” Joseph Carson, kepala ilmuwan keamanan dan penasihat CISO di ThycoticCentrify, mengatakan kepada CSO. Dia menambahkan bahwa itu juga menyebabkan dampak negatif pada produktivitas karyawan dan pengalaman pengguna, semuanya menambah gesekan yang meningkat.
“Menggunakan VPN dalam skala sebesar itu tidak pernah dapat diprediksi, dan telah menciptakan mimpi buruk keamanan bagi tim TI karena memperluas area permukaan untuk potensi serangan,” kata kepala penelitian ancaman Netacea, Matthew Gracey-McMinn.
“Dengan pandemi COVID-19, sebagian besar perusahaan dipaksa untuk cepat beradaptasi dengan lingkungan kerja jarak jauh penuh, dan beberapa dari mereka melakukannya dengan tidak aman, hanya menggunakan solusi VPN generik untuk memungkinkan karyawan mereka mengakses sistem yang sama dari rumah mereka dan secara membabi buta memercayai mereka perangkat,” kata peneliti keamanan Appgate Felipe Duarte.
Dengan pengaturan kerja jarak jauh dan hibrida menjadi norma di masa mendatang, sangat penting bahwa organisasi tidak hanya mengenali kekurangan dan risiko VPN di era kerja jarak jauh tetapi juga memahami bagaimana opsi alternatif dapat mengamankan masa depan kerja jarak jauh dan hibrida dengan lebih baik. .
Kekurangan VPN untuk kerja jarak jauh
Karena VPN biasanya memperluas jaringan organisasi, jika jaringan tempat pengguna berada tidak aman, ada potensi yang lebih besar bagi penyerang untuk memanfaatkannya, kata Sean Wright, pimpinan keamanan aplikasi di Immersive Labs. “Jaringan rumah memiliki lebih banyak kerentanan keamanan, membuat risiko ini meningkat,” tambahnya.
Wave Money, CISO di Dominic Grunden menunjukkan kelemahan lain: fakta bahwa VPN hanya menyediakan enkripsi untuk lalu lintas yang lewat di antara dua titik, membutuhkan tumpukan keamanan penuh yang berdiri sendiri yang harus dipasang di salah satu ujung setiap koneksi VPN untuk pemeriksaan lalu lintas. “Ini adalah persyaratan yang semakin sulit dipenuhi ketika sumber daya perusahaan semakin di-host di cloud dan diakses oleh pekerja jarak jauh. VPN juga tidak menyediakan jalan untuk mengamankan akses pihak ketiga, yang mungkin merupakan tautan serangan terlemah.”
Gracey-McMinn mengatakan sebagian besar VPN memberikan keamanan minimal dengan enkripsi lalu lintas dan seringkali tidak menerapkan penggunaan otentikasi multi-faktor (MFA). “Jika komputer anggota staf telah disusupi saat bekerja di rumah, ini dapat menyebabkan aktor jahat mendapatkan akses ke jaringan perusahaan melalui VPN menggunakan kredensial staf, yang akan memberi mereka akses tepercaya penuh—aktivitas yang cenderung tidak terdeteksi oleh tim keamanan karena tidak memiliki lapisan tumpukan keamanan penuh saat bekerja dari rumah.”
Ini diamati dalam serangan ransomware Colonial Pipeline baru-baru ini , kata Duarte. “Dalam hal ini, penyerang mendapatkan akses ke jaringan internal hanya dengan menggunakan kredensial nama pengguna dan kata sandi yang disusupi untuk perangkat VPN yang tidak aman.” Dia juga mencatat contoh penyerang yang menargetkan dan mengeksploitasi kerentanan alat VPN yang diketahui. “Baru-baru ini, kami mengamati eksploitasi CVE-2021-20016 (mempengaruhi SonicWall SSLVPN) oleh kelompok kejahatan dunia maya DarkSide, dan juga CVE-2021-22893 (mempengaruhi Pulse Secure VPN) yang dieksploitasi oleh lebih dari 12 jenis malware yang berbeda.”
Masalah penting lainnya adalah perangkat yang terinfeksi malware dan belum ditambal. “Skenario ini umumnya terkait dengan malware yang digerakkan oleh manusia , seperti botnet , backdoor, dan RAT [trojan akses jarak jauh] ,” kata Duarte. “Penyerang membuat koneksi jarak jauh dengan perangkat, dan setelah VPN terhubung, malware dapat menyamar sebagai pengguna, mengakses semua sistem yang dapat diaksesnya dan menyebar melalui jaringan internal.”
Wright setuju, menambahkan bahwa perangkat hanya akan cukup aman jika diperbarui secara aktif. “Anda dapat memiliki koneksi VPN paling aman di dunia, tetapi jika perangkat tidak cukup ditambal, itu akan menimbulkan risiko bagi organisasi Anda, dan koneksi VPN akan membuat sedikit perbedaan.”
VPN juga memiliki kelemahan signifikan dari sudut pandang kegunaan dan produktivitas, kata Grunden. “Keluhan umum tentang VPN adalah bagaimana mereka mengurangi kecepatan jaringan karena VPN merutekan ulang permintaan melalui server yang berbeda, sehingga tidak dapat dihindari bahwa kecepatan koneksi tidak akan tetap sama karena peningkatan latensi jaringan.” Selain itu, masalah kinerja lainnya terkadang muncul terkait dengan penggunaan kill switch dan DHCP. “Keamanan yang disediakan oleh VPN, meskipun diperlukan, sering kali datang dengan kompleksitas yang tidak semestinya, terutama untuk organisasi yang menggunakan VPN perusahaan,” tambahnya.
Alternatif aman untuk VPN untuk kerja jarak jauh
Baik itu mengganti VPN sama sekali atau melengkapinya dengan opsi lain, organisasi harus mengenali dan menerapkan metode keamanan alternatif yang lebih cocok untuk melindungi kerja jarak jauh massal. Yang mana dan berapa banyak dari strategi ini yang dapat dijelajahi oleh bisnis akan bervariasi tergantung pada beberapa faktor seperti postur dan selera risiko. Namun, pakar keamanan setuju bahwa berikut ini kemungkinan besar paling efektif secara universal untuk perusahaan.
1. Akses jaringan tanpa kepercayaan
Akses jaringan tanpa kepercayaan (ZTNA) pada dasarnya adalah akses perantara ke aplikasi dan data di jaringan. Pengguna dan perangkat ditantang dan dikonfirmasi sebelum akses diberikan. “Yang harus Anda lakukan adalah mengadopsi pola pikir tanpa kepercayaan, selalu menganggap perangkat atau akun karyawan mungkin disusupi,” kata Duarte.
Grunden menjelaskan bahwa “metode zero-trust mampu melakukan kemampuan dasar VPN, seperti memberikan akses ke sistem dan jaringan tertentu, tetapi dengan lapisan keamanan tambahan dalam bentuk akses yang paling tidak memiliki hak istimewa (sampai ke aplikasi tertentu). ), otentikasi identitas, verifikasi pekerjaan, dan penyimpanan kredensial.”
Akibatnya, jika penyerang berhasil menginfeksi sistem, kerusakan hanya terbatas pada apa yang dapat diakses oleh sistem ini, kata Duarte. “Juga, pastikan untuk menerapkan solusi pemantauan jaringan untuk mendeteksi perilaku yang mencurigakan, seperti mesin yang terinfeksi melakukan pemindaian port, sehingga Anda dapat secara otomatis membuat peringatan dan mematikan sistem yang terinfeksi,” tambahnya.
2. Tepi layanan akses aman (SASE)
Dengan model ZTNA, menurut Gracey-McMinn, setiap pengguna dan perangkat akan diverifikasi dan diperiksa sebelum diizinkan mengakses, tidak hanya di level jaringan tetapi juga di level aplikasi. Namun, zero trust hanyalah salah satu bagian dari perbaikan masalah dan tidak dapat memantau semua lalu lintas dari satu titik akhir ke titik akhir lainnya, tambahnya. “ SASE [tepi layanan akses aman] memecahkan masalah itu. Sebagai model berbasis cloud, SASE menggabungkan jaringan dan fungsi keamanan bersama sebagai layanan arsitektur tunggal, yang memungkinkan perusahaan untuk menyatukan jaringan mereka pada satu titik tunggal dari satu layar.”
Grunden mengatakan bahwa SASE adalah solusi modern yang dirancang untuk memenuhi kebutuhan kinerja dan keamanan organisasi saat ini, menawarkan manajemen dan operasi yang disederhanakan, biaya yang lebih rendah, dan peningkatan visibilitas dan keamanan dengan lapisan tambahan fungsionalitas jaringan serta arsitektur keamanan cloud-native yang mendasarinya. . “Pada akhirnya, SASE memberi tim TI serta seluruh tenaga kerja perusahaan fleksibilitas untuk berfungsi dengan aman dalam normal baru pekerjaan ini di mana saja, di dunia maya di mana pun di dunia COVID,” katanya.
3. Perimeter yang ditentukan perangkat lunak
Sering diimplementasikan dalam strategi zero trust yang lebih luas, software-defined perimeter (SDP) adalah batas jaringan berdasarkan perangkat lunak, bukan perangkat keras, dan merupakan pengganti yang efektif untuk solusi VPN klasik, kata Duarte. “Ini memungkinkan Anda untuk tidak hanya menggunakan otentikasi multi-faktor dan mengelompokkan jaringan Anda, tetapi Anda dapat membuat profil pengguna dan perangkat yang terhubung dan membuat aturan untuk mengaktifkan akses hanya ke apa yang benar-benar dibutuhkan sesuai dengan skenario yang berbeda.”
SDP juga memudahkan Anda untuk memblokir akses ke sumber daya setelah perilaku mencurigakan terdeteksi di jaringan Anda, secara efektif mengisolasi potensi ancaman, meminimalkan kerusakan yang disebabkan oleh serangan, dan mempertahankan produktivitas jika terjadi kesalahan positif, alih-alih menonaktifkan sepenuhnya perangkat dan membuat pengguna tidak dapat melakukan pekerjaan yang berarti, tambah Duarte.
4. Jaringan area luas yang ditentukan perangkat lunak
VPN bergantung pada model router-centric untuk mendistribusikan fungsi kontrol di seluruh jaringan, di mana router merutekan lalu lintas berdasarkan alamat IP dan daftar kontrol akses (ACL). Jaringan area luas yang ditentukan perangkat lunak (SD-WAN), bagaimanapun, bergantung pada perangkat lunak dan fungsi kontrol terpusat yang dapat mengarahkan lalu lintas di seluruh WAN dengan cara yang lebih cerdas dengan menangani lalu lintas berdasarkan prioritas, keamanan, dan persyaratan kualitas layanan sesuai kebutuhan organisasi, kata Grunden.
“Produk SD-WAN dirancang untuk menggantikan router fisik tradisional dengan perangkat lunak virtual yang dapat mengontrol kebijakan tingkat aplikasi dan menawarkan overlay jaringan. Selain itu, SD-WAN dapat mengotomatiskan konfigurasi router edge WAN yang sedang berlangsung dan menjalankan lalu lintas melalui hybrid broadband publik dan tautan MPLS pribadi, ”kata Grunden. Ini menciptakan jaringan tingkat tepi perusahaan dengan biaya lebih rendah, lebih sedikit kerumitan, lebih banyak fleksibilitas, dan keamanan yang lebih baik.
5. Identity and access management and privileged access management
Solusi yang menggabungkan proses verifikasi komprehensif untuk mengonfirmasi validitas upaya login memberikan perlindungan yang lebih besar dibandingkan dengan VPN tradisional, yang biasanya hanya memerlukan kata sandi. “Fitur keamanan IAM [identitas dan manajemen akses] adalah bahwa aktivitas sesi dan hak akses terhubung ke pengguna individu, sehingga manajer jaringan dapat memastikan setiap pengguna memiliki akses resmi dan dapat melacak setiap sesi jaringan,” kata Grunden. “Solusi IAM juga sering memberikan tingkat akses tambahan sehingga pengguna hanya dapat mengakses sumber daya yang diizinkan untuk digunakan.”
Meskipun alternatif VPN atau opsi berpasangan ini mengelola protokol identitas yang memungkinkan pemantauan aktivitas yang lebih terperinci, opsi ini tidak memberikan perlindungan tambahan untuk kredensial istimewa. Untuk mengelola kredensial untuk akun istimewa dengan aman, diperlukan manajemen akses istimewa (PAM), tambah Grunden. “Jika manajemen identitas menetapkan identitas pengguna individu dan mengotorisasi mereka, alat PAM fokus pada pengelolaan kredensial istimewa yang mengakses sistem dan aplikasi penting dengan tingkat perawatan dan pengawasan yang lebih tinggi.”
Akun tingkat tinggi tersebut harus dikelola dan dipantau secara ketat, karena mereka menghadirkan risiko terbesar terhadap keamanan dan merupakan target berat bagi pelaku jahat karena kemampuan administratif yang mereka izinkan. “Manfaat utama dari solusi PAM mencakup keamanan kredensial tingkat lanjut seperti seringnya rotasi kata sandi yang rumit, pengaburan kata sandi, sistem dan kontrol akses data, dan pemantauan aktivitas pengguna,” kata Grunden. “Fitur-fitur ini mengurangi ancaman penggunaan kredensial hak istimewa yang tidak sah dan memudahkan manajer TI untuk menemukan operasi yang mencurigakan atau berisiko.”
6. Unified endpoint management tools
Akses bersyarat melalui alat unified endpoint management (UEM) dapat memberikan pengalaman tanpa VPN melalui kemampuan akses bersyarat, di mana agen yang berjalan pada perangkat akan mengevaluasi berbagai kondisi sebelum memungkinkan seseorang mengakses sumber daya tertentu, kata Andrew Hewitt, analis senior di Forrester. “Misalnya, solusinya dapat mengevaluasi kepatuhan perangkat, informasi identitas, dan perilaku pengguna untuk menentukan apakah orang tersebut memang dapat mengakses data perusahaan. Seringkali, penyedia UEM akan berintegrasi dengan penyedia ZTNA untuk perlindungan tambahan.
7. Virtual desktop infrastructure or desktop-as-a-service
Infrastruktur desktop virtual (VDI) atau solusi desktop-as-a-service “pada dasarnya mengalirkan komputasi dari cloud (atau dari server lokal) sehingga tidak ada yang tersimpan secara lokal di perangkat,” jelas Hewitt. Terkadang organisasi akan menggunakan ini sebagai alternatif untuk VPN, tetapi masih perlu pemeriksaan di tingkat perangkat bersama dengan otentikasi pengguna untuk mengamankan akses, tambahnya. “Namun manfaat dari ini adalah tidak ada data yang dapat disalin dari sesi virtual ke klien lokal, tidak seperti VPN tradisional.”