Старі звички важко викорінюються. Навіть у 2025 році застарілі системи, такі як факс, телефонні системи АТС і картотеки, залишаються у вжитку в багатьох офісах. Ще одним несподіваним пережитком є традиційна VPN (з англ. Virtual Private Network – віртуальна приватна мережа). Технологія VPN добре зарекомендувала себе, впродовж десятиліть вона була вибором за замовчуванням для віддаленого доступу. Але багато організацій продовжують покладатися на застарілі рішення VPN, попри значний прогрес у технологіях безпечного віддаленого доступу.
Дійсно, в сучасному ландшафті загроз VPN-сервіси несуть більше ризиків, ніж користі. У цій статті розглядаються п’ять причин, чому настав час попрощатися з VPN-інфраструктурою і що використовувати замість неї.
Робочі навантаження перемістилися в хмару
Останніми роками компанії неухильно переносять свої операції в хмарні середовища. Варто лише згадати, скільки нарад у Teams або Zoom відвідуються щотижнево і скільки повсякденних додатків тепер працюють у хмарі.
Ці зміни роблять VPN-рішення все менш необхідними. Зі збільшенням використання хмарних технологій потреба у віддаленому доступі до локальних ресурсів зменшується. Однак, багато компаній все ще підтримують VPN-рішення для забезпечення доступу до все меншої кількості застарілих ресурсів, подібно до людей, які зберігають плеєри Blu-ray лише для того, щоб переглянути пару запилених дисків, захованих у старій шафі.
Але чи варто підтримувати складну, застарілу інфраструктуру VPN заради кількох елементів, таких як спеціально визначений комп’ютер або застаріле сховище для зберігання файлів? Сьогодні компанії мають на вибір безліч альтернативних рішень. Ці хмаро-центричні рішення підвищують ефективність і продуктивність, оскільки усувають потребу в постійному обслуговуванні, виправленнях і моніторингу. Їх також можна легко масштабувати, щоб пристосуватися до мінливої кількості віддалених користувачів. Але, мабуть, найважливішою перевагою є посилення безпеки.
Блокування розширення атаки та ескалації привілеїв є критично важливим
Традиційні VPN надають широкий мережевий доступ до всього, що може призвести до “розкриття” конфіденційних даних та критично важливих систем без потреби. Дійсно, таке розширення поверхні атаки дозволяє зловмисникам постійно підвищувати свої привілеї та компрометувати безліч систем у мережі. Ба більше, облікові записи з підтримкою VPN залишаються неактивними, коли вони не використовуються, готові до захоплення зловмисниками в будь-який момент. Цей ризик посилюється тим, що організації мають обмежений контроль над зовнішніми пристроями, на яких працюють VPN-клієнти, що ще дужче збільшує потенціал для проникнення шкідливого програмного забезпечення та несанкціонованого доступу.
З іншого боку, рішення для безпечного доступу надають доступ до конкретних ресурсів, які потрібні користувачеві в цей момент, і не більше. Суворе дотримання принципу найменших привілеїв обмежує розширення атаки що, своєю чергою, значно зменшує потенційний вплив злому. Ці сучасні рішення також динамічно створюють привілеї доступу, які діють лише протягом сесії, а потім видаляються. Такий підхід “just-in-time” значно знижує ризик використання неактивних облікових записів, зберігаючи при цьому продуктивність віддалених користувачів.
Потрібна краща видимість і контроль
Традиційні конфігурації VPN є статичними, а це означає, що вони повинні надавати широкий доступ кожному користувачеві. Відсутність детального контролю наражає організації на значні ризики безпеки та потенційні витоки даних. Після підключення користувачі можуть без нагляду брати участь у ризикованих діях, таких як запуск RDP-сесій або доступ до шкідливих вебсайтів.
На противагу цьому, сучасні системи безпечного доступу можуть динамічно змінювати права доступу користувачів на основі таких факторів, як поведінка користувача, стан пристрою та дані про загрози в реальному часі. Наприклад, якщо обліковий запис намагається видалити або зашифрувати конфіденційні файли, його права доступу можуть бути негайно обмежені.
Крім того, можливості моніторингу в реальному часі та запису сесій дають змогу командам безпеки ретельно спостерігати та аналізувати активність користувачів. Така всеосяжна видимість дозволяє швидко виявляти загрози та оперативно реагувати на інциденти. Крім того, це унеможливлює ризиковану поведінку користувачів, що заважає їм вдаватися до ризикованих дій.
VPN – шлюз для багатьох загроз
Активне VPN-з’єднання – це ще одні відкриті двері до мережі. Якщо користувач переглядає вебсторінки під час підключення, він може ненавмисно завантажити шкідливий код на свою систему. Як наслідок, зловмисники можуть отримати віддалений контроль над пристроєм, що дозволить їм компрометувати токени MFA, перенаправляти текстові повідомлення, здійснювати атаки типу “людина посередині” (MITM) та багато іншого.
Сучасне рішення для безпечного доступу значно знижує ризик цих загроз, оскільки створює ізольовані з’єднання для конкретних додатків, а не широкий доступ до всієї мережі. Крім того, воно забезпечує доступ з найменшими привілеями та застосовує засоби контролю безпеки в режимі реального часу для виявлення та блокування підозрілої активності. Такий проактивний підхід допомагає захистити конфіденційні дані та системи, а отже, і основні бізнес-операції.
Правила комплаєнсу стають дедалі суворішими
На сьогодні не існує законодавчого мандату, який би забороняв компаніям використовувати VPN. Однак мета комплаєнсу полягає саме в тому, щоб посилити безпеку. Якщо організація продовжує покладатися на VPN-рішення, вона має переконатися, що дійсно виконуються зобов’язання щодо належної обачності.
Стандарти комплаєнсу швидко змінюються у відповідь на розвиток технологій і ландшафту загроз. Зокрема, нормативно-правові акти все більше підкреслюють важливість проактивного управління ризиками та адаптивних рішень для гарантування безпеки. Досить скоро регуляторні органи, ймовірно, рекомендуватимуть більш надійні заходи безпеки, ніж VPN. Подібно до того, як вони вже не рекомендують використовувати старі протоколи шифрування та автентифікації.
Висновок
З розвитком кіберзагроз компанії повинні переосмислити свій підхід до віддаленого доступу. Настав час відмовитися від VPN і перейти на сучасні рішення безпеки з управлінням ідентичністю, які забезпечують набагато кращий захист критично важливих активів, підвищуючи при цьому ефективність і масштабованість. Хоча такий перехід може бути важким, переваги сучасних рішень для доступу набагато перевищують комфорт від використання застарілих систем.
