作者：Alban Kwan，东亚区域总监

由于最近新型冠状病毒(COVID-19)的全球性爆发，中国大陆与香港的许多组织开始实施业务连续性计划 (BCP)。2003年爆发的非典疫情持续了9个月，期间感染率快速上升。而此次新型冠状病毒很可能会导致企业业务长期中断，不得不实施业务连续性计划。

BCP中最常见的做法是让员工能够使用VPN居家办公，实现远程安全访问。尽管VPN早已广泛用于商务领域，但受此次疫情影响，一些受感染地区开始对远程访问实施大规模长期部署，并且这一举措呈现激增趋势，而这可能导致企业面临不可预见的风险。本文将讨论可能出现的一些安全盲点。

1. VPN劫持

2019年12月，发现了一种新的VPN漏洞 – CVE-2019-14899。亚马逊的工程师Colm MacCárthaigh称该漏洞“极其聪明”且“非常厉害”，可攻击多种不同的VPN，因此“使用何种VPN技术似乎并不重要”。该漏洞是TCP序列号猜测攻击的变异，攻击者利用各种技术观察与确定TCP序列号，以伺机插入恶意数据包并有效劫持VPN隧道。

此类攻击在有针对性的劫持活动中非常有效，可对任何设备与VPN进行攻击，如果员工毫无防范地使用未加密的家庭无线网络访问VPN，则极易遭受攻击。

MacCárthaigh开发了亚马逊云服务的VPN产品，他提醒我们，此类攻击一旦与DNS欺骗联合，势必会构成更加严重的威胁。攻击者很容易根据数据包的大小和位置分析DNS请求并作出回复；DNS通常是序列中的第一个流量，且在VPN建立之前进行DNS查询。因此，“通过DNS劫持流量通常比有效负载注入更有效”，可用作VPN劫持攻击的一部分。攻击者也可通过该攻击的变异盗取VPN密码，从而自由访问公司网络。

2. 通过DNS劫持盗取VPN密码

2019年“海龟”黑客发起的著名DNS劫持活动中，Cisco Talos称犯罪者能够盗取电子邮件和其它登录凭证，并且能够将所有电子邮件和VPN流量重定向到攻击者控制的伪服务器。

通过劫持域名注册商或DNS服务供应商，攻击者可获得对受害组织关键业务域的访问权限。劫持到域名后，攻击者会获得目标域的SSL/TLS数字证书（如vpn.victimcompany.com），从而“破解拦截的电子邮件和VPN凭证的密码，直接查看明文”。

随着DNS劫持数量及受攻击的知名注册商数量的增加，可证明其他黑客已重现“海龟”攻击，而且这一趋势很可能会持续下去，因为劫持DNS要比攻击受防护墙保护的任何对象更具成本效益。

3. 域名与DNS安全性可能影响VPN

VPN可通过IP地址直接设置，也可通过DNS设置。使用DNS设置VPN更加灵活，因此更为常用，但在使用该方法时，以上讨论的域名和DNS劫持问题会带来其他风险。为降低这些风险，公司应评审注册商与DNS的安全性。

i. 注册商安全性 – 如果您在注册商处的账户被盗用，攻击者会控制由您的域名注册商托管的域名服务器记录，由于该域名服务器记录将域名链接至您的DNS，因此他们会将您的核心域重定向至任何DNS，实现所有类型的中间人攻击。注册商泄漏完全发生在您的防火墙之外，必须通过适当的第三方风险管理予以规避。有效的降险策略包括：

a. 使用企业级服务供应商。避免使用曾存在安全漏洞、安全级别低且廉价的服务供应商。

b. 确保您的注册商提供注册局锁定服务且启用DNSSEC。

c. 确保您的注册商登录门户采用适当的双重身份验证(2FA)。如可能，避免采用基于SMS的2FA。

d. 锁定您在注册局的重要域（请勿与注册商锁定混淆）。

值得注意的是，VPN连接背后的域可能与核心域不同。内部使用的域名可能被忽视，认为其并非关键域，不需给予相应的关注和安全性控制。这些域在安全时期的重要性可能比较低或由前员工或承包商设置，造成现任网络工程师无法全面查看这些域。我们强烈建议您开展内部审核，检查内部重要系统（尤其是BCP相关服务）所使用的任何域，以及确保实施相应的安全控制。一旦这些域被劫持，会造成您的BCP中断。

ii. DNS安全性与可用性 – 攻击者还可直接劫持DNS服务器。只要您的VPN连接使用DNS，注册商泄漏或DNS劫持就可能导致您的BCP完全停止。以下列举了一些可规避DNS劫持的最佳惯例：

a. 使用企业级服务。避免使用成本和安全性低的DNS服务，尤其是免费DNS服务。

b. 确保您的DNS登录门户采用适当的2FA，避免使用基于SMS的2FA。

c. 确保您的DNS服务供应商提供全天候支持且能够在线解决问题。如果服务要求您记录权证与手动更新区域，则在紧急状态下的风险会过高。

d. 监控DNS区域文件的变化。尽管注册局-注册商锁定能够在DNS劫持中防止未经授权人士更改您在WHOIS中的域名服务器记录，但其不会锁定区域。与能够监控您的SIEM或在SIEM中集成监控服务的服务提供商合作。

请参阅加强DNS安全性的6种方法，了解与DNS保护相关的更多信息。

4. SSL VPN与数字证书管理风险

VPN可通过IPSec或SSL加密。由于易于实施、成本低且可扩展性高，SSL VPN更受青睐。由于没有取得许可，并且在大规模实施BCP的情况下实施IPSec VPN系统具有一定挑战性，因此公司可能针对远程员工实施SSL VPN。

在这种情况下，考虑与数字证书管理相关的风险至关重要，这些风险通常由于不良习惯所导致。然而，即使是像LinkedIn这样的大型组织，管理不善也时有发生，这会给企业造成重大损失（示例1、 示例2、示例3）。

如果您的组织在BCP过程中实施SSL VPN，则为确保证书未到期，需对相关政策进行审核。以下列举了一些最佳惯例：

i. 如果您的组织使用大量数字证书，可考虑使用数字证书管理服务，实现内外部证书的自动更新与安装。

ii. 如果未首选自动更新，则始终会出现未注意到数字证书到期的情况，就如墨菲定律所言，事情如果有变坏的可能，不管这种可能性有多小，它总会发生。您的供应商对事件快速响应的能力至关重要。供应商应全天候（而不是“仅在线” 以及仅可通过网络访问）提供支持。

iii. 实施有助于为您的数字证书创建治理框架的CAA（证书颁发机构授权)记录，以防止向您的域错误签发SSL，同时避免员工购买到未获授权的证书。

5. 突发事件中的网络钓鱼攻击

然而，令人遗憾的是，总会有网络罪犯伺机利用任何突发事件。“随着人们对新冠肺炎担忧的与日俱增，网络罪犯开始利用人们的恐慌心理，发送自称含安全保护措施建议的网络钓鱼邮件。这类电子邮件已在美国和英国出现”。 

至今，CSC已检测到63个含“corona（冠状）”的注册域，从信息位点、销售口罩的电子商务网站到提供特定品牌机器精选采购建议的信息网站，涵盖范围广泛。与医疗用品或医药相关的公司需了解，造假者可能利用网络钓鱼活动促销伪劣产品，无论产品实际是否与冠状病毒有关。

另一方面，由于容易被抗病毒软件识别，网络钓鱼者不太可能在邮件和域名中使用病毒名，但他们会利用品牌诱使受害者阅读启用宏的word报告或被病毒感染的pdf报告，从而感染受害者的机器。公司需意识到，公司品牌是网络钓鱼者使用的潜在手段，公司客户会因此成为受害者，公司品牌也会相应受损。

网络钓鱼者可通过鱼叉式网络钓鱼、捕鲸或对执行主管和员工实施商务电子邮件入侵(BEC)等手段从内部攻击您的公司；也可通过在某域或品牌欺诈网络钓鱼活动中使用您的品牌名，从而从外部攻击您的客户。信息安全团队应高度关注这类攻击。

对于针对内部的网络钓鱼，建议实施DMARC协议，以控制SPF记录设置的电子邮件拒收政策。您应确保您的电子邮件网关支持DMARC，从而保证能够有效滤除谎称是您的员工或合作伙伴的欺诈性电子邮件。

对于针对外部的网络钓鱼，建议您实施防欺诈监控服务。这是保护无复杂防火墙与电子邮件网关的客户的唯一方法。

BCP用于确保业务在危机期照常运营，但如果使用的系统（如VPN和防火墙外的DNS、域和数字证书）存在风险，则BCP会导致组织出现安全漏洞。谨慎注意安全盲点，确保实施正确的安全控制和政策，可降低企业业务的连续性风险。