Lar O negócio As empresas precisam entender o risco dos serviços de VPN

As empresas precisam entender o risco dos serviços de VPN

Índice:

Vídeo: NÃO USE VPN sem SABER disto antes! (Novembro 2024)

Vídeo: NÃO USE VPN sem SABER disto antes! (Novembro 2024)
Anonim

Como você pode notar em nosso recente resumo de serviços de rede virtual privada (VPN), esses produtos existem por vários motivos, nem todos relevantes para o uso comercial. Por exemplo, é improvável que sua equipe de TI tenha um motivo comercial para assistir a filmes ativamente bloqueados em uma região geográfica específica como, por exemplo, a China.

Em vez disso, os motivos típicos pelas quais uma empresa deve usar um centro de serviços VPN quase inteiramente em torno da segurança. Proteger o dispositivo usando a VPN, proteger seus dados em trânsito e proteger a rede comercial à qual a VPN está se conectando - são muitas as bases abordadas. Você também pode precisar de uma VPN para atender aos requisitos de conformidade para a transmissão de informações ou dados financeiros relacionados à saúde. Talvez você queira ter certeza de que seus concorrentes não possam ver o que você está fazendo. Ou o que é mais comum ultimamente, você não deseja que um governo estrangeiro desvie sua propriedade intelectual (PI).

Uma VPN configurada corretamente deve gerenciar todos esses truques. Sua conexão entre dois pontos separados na Internet é criptografada usando algoritmos poderosos que devem impedir que alguém - seja da sua empresa concorrente do outro lado da rua ou esteja trabalhando para Kim Jong-Un - intercepte suas comunicações. Ou eles vão?

O que sua VPN realmente está fazendo?

Essa é a pergunta que está sendo feita pelo Departamento de Segurança Interna dos EUA (DHS), a pedido dos senadores Ron Wyden (D-OR) e Marco Rubio (R-FL). Em uma carta a Christopher C. Krebs, diretor da recém-criada "Agência de segurança cibernética e infra-estrutura", os dois senadores observaram que muitos serviços de VPN pertencem a empresas fora dos EUA e que podem ter a capacidade de extrair informações (o mesmos dados que os usuários pensavam estar protegidos) e depois os compartilha com outros.

Então, primeiro, é possível que um provedor de VPN sem escrúpulos compartilhe as comunicações de forma descriptografada com outras pessoas? E segundo, é provável que esse compartilhamento esteja realmente acontecendo?

A resposta para a primeira pergunta é um inequívoco "sim". De uma perspectiva puramente técnica, é perfeitamente possível para um provedor compartilhar qualquer informação privada que você bombear através de seus canais VPN. A resposta para a segunda pergunta é, obviamente, "talvez", porque depende do provedor, quem está gerenciando a organização, potencialmente onde está localizada e, finalmente, qual é a sua ética. Essas são as perguntas que o DHS está sendo solicitado a determinar.

A razão pela qual isso é possível é a maneira como a maioria dos provedores de VPN funciona. Ao configurar a sessão da VPN, você cria um túnel criptografado entre o computador ou a rede e um servidor no local do provedor de VPN. A partir desse ponto, sua conexão é enviada ao seu destino final. Enquanto seus dados estão passando pelos servidores do provedor de VPN, eles podem estar em um estado não criptografado e podem ser criptografados novamente quando enviados para a outra extremidade da sua conexão.

Enquanto alguns provedores de VPN mantêm seus dados criptografados durante todo o processo, outros não. E qualquer um deles pode descriptografar seus dados, se assim o desejar. O risco está no tempo que seus dados passam nos servidores do provedor de VPN. Um provedor inescrupuloso pode enviar uma versão não criptografada dos seus dados para outra pessoa enquanto ela estiver em seu poder. Diante desse cenário, como você protege seus dados comerciais?

(Crédito da imagem: Statista)

Como se proteger contra a perda de dados

Primeiro, conheça seu provedor de VPN. Se você é uma empresa com sede nos EUA, precisa entender que um provedor de VPN com sede nos EUA estará sujeito às leis dos EUA sobre proteção de dados; um provedor localizado em outro lugar pode não. Da mesma forma, se você estiver localizado na Europa ou em outro país, também precisará saber que seus dados estão sendo tratados de acordo com as leis locais.

Francis Dinha, fundador e CEO do OpenVPN, disse que você deve considerar uma bandeira vermelha se um provedor de VPN estiver localizado no exterior. "Quando você tem uma empresa operando fora do país, está se expondo a riscos de segurança", disse ele. "Quem sabe se os dados do seu dispositivo estão sendo compartilhados com outra pessoa?"

Dinha ressalta que existem outras bandeiras vermelhas, principalmente se uma VPN é oferecida gratuitamente. Com um serviço de VPN gratuito, você é o produto, ele explica. Isso pode significar que seu uso da VPN pode expô-lo à publicidade, ou você pode encontrar suas atividades compartilhadas com outras pessoas para fins de marketing, ou você pode achar que seus dados estão sendo compartilhados com entidades que não têm seus melhores interesses.

"Você não deve usar VPN que permita conexões de torrent ou ponto a ponto", disse Dinha. "Pode ser um terceiro capaz de instalar conteúdo malicioso".

Essas conexões ponto a ponto de terceiros também podem extrair dados da sua rede. Eles podem permitir que seus clientes instalem portas traseiras para uso posterior e podem dar acesso a ativos de rede durante todo o tempo em que a VPN estiver ativa. Embora muitos consumidores e usuários avançados da tecnologia VPN possam zombar desse conselho - geralmente eles usam uma VPN específica especificamente porque permite o uso de torrents e ponto a ponto -, esses usuários também estão cientes desses riscos potenciais à segurança. Eles estão dispostos a aceitá-los e provavelmente instalaram muitos softwares de proteção de terminais para compensar. A maioria das empresas, por outro lado, provavelmente está envolvida simplesmente na transmissão de dados e em conexões remotas seguras, o que significa que riscos adicionais de endpoint simplesmente não valem a pena para eles.

Dinha disse que qualquer VPN, incluindo as baseadas nos EUA, pode ser mal utilizada, por isso é fundamental que você examine seu provedor de VPN para garantir que ele esteja fornecendo o serviço que você pensa que está recebendo. Ele disse que uma boa maneira de garantir que você esteja lidando com um provedor de VPN respeitável é confirmar que a empresa é respeitável de outras maneiras. Por exemplo, encontre empresas com base em segurança, como empresas de firewall ou empresas de software de segurança.

Um ponto importante, disse Dinha, é que você nunca deve usar uma VPN em que não possa controlar o servidor. Ele também sugere que você deve garantir total controle sobre o gerenciamento de chaves. Novamente, da perspectiva dos negócios, essa é uma boa ideia. No entanto, a maioria dos consumidores não configurará seus próprios servidores VPN. De fato, a idéia por trás das VPNs de consumidor é que elas não precisam fazer isso. Usuários avançados e consumidores precisam ponderar seu tempo e recursos em relação aos benefícios obtidos pelo controle de ponta a ponta de suas VPNs. As empresas podem se dar ao luxo de ser mais rigorosas, especialmente aquelas com equipe de TI permanente - e provavelmente deveriam ser.

Que tipo de solução de VPN usar

A essa altura, você provavelmente já deve estar pensando que usar um serviço VPN de consumidor no qual faz um túnel para um servidor em outro país, que o conecta a um site localizado em outro lugar, não é uma prática recomendada dos negócios. Dinha concorda, enfatizando que esses serviços realmente não foram desenvolvidos como soluções de negócios.

  • Os melhores serviços de VPN para 2019 Os melhores serviços de VPN para 2019
  • As melhores VPNs Linux para 2019 As melhores VPNs Linux para 2019
  • Senadores dos EUA exigem investigação de VPNs estrangeiras por risco de espionagem Senadores dos EUA exigem investigação de VPNs estrangeiras por risco de espionagem

Em vez disso, o que a maioria das empresas deve fazer é usar uma solução VPN que conecte os usuários ao servidor da empresa sem uma etapa intermediária no servidor de outra pessoa. Existem muitas soluções disponíveis, algumas de empresas que você nunca ouviu falar e outras de empresas conhecidas como Cisco. Qualquer um desses itens, mas não todos, é compatível com o software de código aberto do OpenVPN, que também é amplamente utilizado e comercializado por outros fornecedores, porque evoluiu para um padrão de fato no espaço da VPN.

Isso certamente é mais difícil de configurar e implementar do que simplesmente se inscrever em um serviço de nuvem VPN, mas a diferença é que você está se conectando diretamente a um servidor VPN que você controla, geralmente localizado na borda de sua própria rede. Dessa forma, seus dados são protegidos e nunca chegam às mãos de terceiros.

As empresas precisam entender o risco dos serviços de VPN