De pandemie stuurde begin dit jaar miljoenen werknemers naar het thuiskantoor. Veel van de werkplekken op afstand die op een dergelijke ad hoc manier zijn opgezet, zullen echter ook na de pandemie blijven bestaan. Dit betekent een drastisch groeiend aantal VPN-toegangen tot het bedrijfsnetwerk. Een immense uitdaging voor alle IT-afdelingen.
Binnen een paar dagen vond er in het voorjaar van 2020 een enorme omwenteling plaats op de werkvloer: In plaats van face-to-facevergaderingen, toegang tot lokale netwerken en informele gesprekken tijdens de pauzes, brengen veel werknemers nu al hun werktijd door met videoconferenties, maken ze gebruik van wifi-netwerken thuis en proberen ze op verschillende manieren in contact te blijven met collega’s zonder ze persoonlijk te zien.
Met de vele werknemers die momenteel, en vermoedelijk ook na de pandemie, vaak en veel van buiten hun kantoorlocatie toegang hebben tot bedrijfsmiddelen, is het Virtual Private Network (VPN) voor de meeste werknemers van bedrijven het centrale verbindingspunt geworden. Mensen met een overzicht van het bedreigingslandschap maken zich echter zorgen over het verhoogde aanvalsrisico dat dit met zich meebrengt voor bedrijven en de beschikbaarheid van hun diensten.
Omdat een aanvaller zich, ongeacht zijn motivatie, zal richten op de diensten die op een bepaald moment het belangrijkst zijn voor een bedrijf. In dit verband kan worden verwacht dat VPN-concentrators, waarop bedrijven nu (en in de toekomst) vertrouwen, snel naar de voorhoede van deze diensten zullen opschuiven.
Hoewel een individueel bedrijf de onderliggende oorzaken van deze aanvallen niet alleen kan bestrijden, kan het zich wel voorbereiden op aanvallen op zijn on-linediensten. Er zijn een aantal maatregelen die elke organisatie kan nemen om zichzelf te beschermen tegen cyberaanvallen:
- Heroverweeg wat er achter het VPN moet – Gebruik indien mogelijk beproefde SaaS-gebaseerde diensten voor productiviteits- en samenwerkingstools. Dit versterkt de onafhankelijkheid van het VPN vanaf het begin.
- Beleidslijnen en aanvaardbaar gebruik opstellen – Voorkomen dat werknemers privédingen doen op hun bedrijfsapparaten en het VPN passeren. Dit is van cruciaal belang om extra kosten en risico’s te voorkomen.
- Praktijkoefeningen uitvoeren om inzicht te krijgen in het DDoS-perspectief – Het is van essentieel belang dat u goed weet hoe u op een DDoS-aanval moet reageren en de beste praktijken volgt met speciale apparatuur en een beheerde dienst, in plaats van op geluk te vertrouwen en een aanval pas op te merken als deze al vergevorderd is.
Top 10 VPN-prestatie- en beveiligingstips
Vanwege het thuiswerken worden VPN-gateways beschouwd als een belangrijke levensader voor bedrijven om werknemers toegang te bieden tot relevante bedrijfstoepassingen. Maar vandaag de dag moet de strategie voor het bouwen van een robuuste VPN-infrastructuur veel verder gaan dan het toevoegen van VPN-capaciteit en internetverbindingsbandbreedte om prestatievermindering als gevolg van grote vraag te beperken. In plaats daarvan moeten IT-teams in staat zijn om het verbruik van hulpbronnen snel te analyseren, prioriteit te geven aan essentiële diensten en snel prestatieproblemen te identificeren en op te lossen.
1. Installeer quota voor bandbreedte en doorvoer
De IT-afdeling moet beleid opstellen voor het beheer van toegang op afstand, te beginnen met redelijke quota voor bandbreedte en doorvoer per sessie. Terminatiecapaciteit, bandbreedte en doorvoer moeten naar behoefte kunnen worden geschaald.
2. Communiceer en handhaaf beleid voor aanvaardbaar gebruik
Veel productiviteitstoepassingen op kantoor hebben geen VPN nodig. Toepassingen zoals onlinespellen en videostreamingplatforms zijn absoluut verboden. Split-tunnel VPN’s, waarbij al het internetverkeer via lokale thuisnetwerken wordt geleid, kunnen effectieve alternatieven zijn.
3. Gebruik van aangepaste toegangscontroles
Het implementeren van VPN-concentrator-specifieke toegangscontroles is essentieel omdat bijvoorbeeld een generieke SSL/TLS-gebaseerde VPN-concentrator een ander netwerkbeleid heeft dan een IPSEC-gebaseerde VPN-concentrator voor toegang op afstand.
4. Geregionaliseerde infrastructuur voor toegang op afstand
Voor organisaties met geografisch verspreide werknemers helpt een geregionaliseerde netwerkinfrastructuur voor toegang op afstand de belasting van internet en intranet te spreiden, terwijl deze tegelijkertijd beter bestand is tegen aanvallen of andere potentiële verstoringen van de dienstverlening.
5. Analyse van netwerkverkeer
Netwerktools die binnen de publieke netwerkinfrastructuur zijn geïmplementeerd, bieden zowel holistische als granulaire gegevens om teams te helpen problemen nauwkeurig te diagnosticeren, bandbreedte beter toe te wijzen en specifieke services te bouwen om problemen te beperken.
6. Geïntegreerde bescherming
Grote software-as-a-service (SaaS) providers beschikken vaak al over DDoS-bescherming om de beschikbaarheid van hun diensten op peil te houden. Daarom is het een goed idee om voortdurend gebruik te maken van SaaS-gebaseerde diensten voor dagelijkse bedrijfstoepassingen, het delen van inhoud, samenwerking en communicatie.
7. Gebruik Best Current Practices (BCP’s)
Het implementeren van BCP’s voor de netwerkinfrastructuur, servers en diensten zoals DNS is essentieel voor het verhogen van de bescherming tegen aanvallen. Dit vereist het gebruik van intelligente systemen voor DDoS-verdediging om alle openbaar toegankelijke servers, diensten, toepassingen, gegevens en ondersteunende infrastructuren te beschermen tegen DDoS-aanvallen.
8. Gebruik speciale internetdoorvoerverbindingen voor VPN’s
Door gebruik te maken van verbindingen die niet zijn verbonden met onderdelen zoals DNS-servers en openbaar toegankelijke websites, is de kans kleiner dat DDoS-aanvallen verhinderen dat de IT-afdeling die verantwoordelijk is voor beveiliging op afstand ingrijpt.
9. Integreer toegang op afstand
De mechanismen voor toegang op afstand moeten worden geïntegreerd met de authenticatie-, autorisatie- en boekhoudsystemen van de organisatie en vereisen het gebruik van multifactorauthenticatietechnologieën (MFA) voor gebruikerstoegang.
10. DNS-naamgeving
Over de auteur
Hardik Modi is AVP Engineering, Threat and Mitigation Products bij Netscout.