美國CISA針對 VPN 安全強化，推出採購與設定指引

2021 / 10 / 04

編輯部

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity & Infrastructure Security Agency, CISA）與國家安全局（National Seurity Agency, NSA），近日聯合發布 VPN 資安強化指引，旨在協助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。

CISA 與 NSA 在新聞稿中指出，VPN 伺服器是進入各種重要受保護網路的入口，因此經常成為各種駭侵團體攻擊的首選；過往有許多受國家力量資助的「進階持續威脅」（Advanced Persistent Threat, APT）駭侵團體，利用各種 VPN 解決方案的資安漏洞與不當設定，不但可以竊取人員登入資訊、遠端執行任意程式碼、破解經由加密傳輸的資訊、攔截破譯傳輸內容、竊取機敏檔案等等。

該指引詳細列舉了如何選擇安全的 VPN 連線服務，以及強化連線安全性的設定方式，以避免 VPN 遭到駭侵攻擊成功；包括選用由「國家資訊保障伙伴」（National Information Assurance Partnership）經過測試驗證通過的 VPN 產品、導入例如多階段登入驗證以強化登入驗證機制、隨時即時套用各種資安修補更新，以及停用非 VPN 相關功能等方法，以盡力強化 VPN 對抗駭侵攻擊的能力。

新聞稿說，這份指引係提供給美國政府旗下各單位如國防部、國家安全體系（National Security Systems）與各種國防工業基地等單位參考遵循之用，

在這份指引列出的 VPN 合格產品列表中，列出一共 225 種合格產品與服務，包括硬體產品型號、其作業系統或韌體版本等資訊，以供意欲提升資安防護等級的公民營單位參考採購。

本文轉載自TWCERT/CC。

CISA VPN NSA APT 進階持續威脅