按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

美國資安主管單位,針對 VPN 安全強化,推出採購與設定指引

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-10-06
  • 點閱次數:3027
美國資安主管單位,針對 VPN 安全強化,推出採購與設定指引 TWCERT/CC

美國資安主管機關 CISA 與 NSA 聯合發布 VPN 資安強化指引,幫助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。

美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA) 與國家安全局(National Seurity Agency, NSA),近日聯合發布 VPN 資安強化指引,旨在協助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。

CISA 與 NSA 在新聞稿中指出,VPN 伺服器是進入各種重要受保護網路的入口,因此經常成為各種駭侵團體攻擊的首選;過往有許多受國家力量資助的「進階持續威脅」(Advanced Persistent Threat, APT)駭侵團體,利用各種 VPN 解決方案的資安漏洞與不當設定,不但可以竊取人員登入資訊、遠端執行任意程式碼、破解經由加密傳輸的資訊、攔截破譯傳輸內容、竊取機敏檔案等等。

該指引詳細列舉了如何選擇安全的 VPN 連線服務,以及強化連線安全性的設定方式,以避免 VPN 遭到駭侵攻擊成功;包括選用由「國家資訊保障伙伴」(National Information Assurance Partnership)經過測試驗證通過的 VPN 產品、導入例如多階段登入驗證以強化登入驗證機制、隨時即時套用各種資安修補更新,以及停用非 VPN 相關功能等方法,以盡力強化 VPN 對抗駭侵攻擊的能力。

新聞稿說,這份指引係提供給美國政府旗下各單位如國防部、國家安全體系(National Security Systems)與各種國防工業基地等單位參考遵循之用,

在這份指引列出的 VPN 合格產品列表中,列出一共 225 種合格產品與服務,包括硬體產品型號、其作業系統或韌體版本等資訊,以供意欲提升資安防護等級的公民營單位參考採購。

回頁首