2023 VPN 風險調查報告

Zscaler 2023 VPN風險評估大調查 | | 資安人必看,Zscaler 針對382名IT及安全專家對VPN的風險評估,探討多方面的安全和用戶體驗

這份 2023 VPN 風險綜合報告基於對382名IT專業人員和網路安全專家的調查,探討了多方面的安全和用戶體驗挑戰。揭示了現今VPN 管理的複雜性、用戶體驗問題、各種網路攻擊的漏洞,以及這些攻擊可能對更廣泛的安全態勢造成的損害。並指出零信任正成為保護和加速數位轉型,本調查的結果將成為 IT 和網絡安全專業人員邁向零信任安全之旅的重要資源。

概述

傳統上,虛擬專用網路(VPN)促進了基本的遠端連線。然而,分佈式勞動力的急速成長以及雲技術的日益普及正在挑戰 VPN 所提供的基本連線。隨著威脅環境的急速變化,VPN 已無法提供組織所需的安全和分段訪問。相反,VPN 通常提供對企業網路的完全訪問權限,一旦惡意行為者取得登錄憑證並獲得訪問權限,將會增加網路攻擊的風險。此外,VPN 可連接多個站點,允許訪問第三方,支援非託管設備,並實現物聯網設備的連接。然而,這些不同的用例使得 VPN 遠超出其最初的設計和目的,並且面對日益複雜且不斷變化的威脅環境,往往會導致安全漏洞的產生。

調查的主要結果包括

VPN 漏洞與網路安全影響:

儘管VPN發揮至關重要的作用,但它同時也可能帶來安全風險。對於88%的組織來說,VPN對環境安全的潛在威脅引起了輕微到極端的擔憂。


此外,有45%的組織確認在過去12個月中至少經歷過一次利用 VPN 漏洞的攻擊,其中三分之一成為了 VPN相關受害者,遭遇了勒索軟體攻擊。利用VPN漏洞的網路攻擊威脅逐漸增加,凸顯了迫切需要解決目前 VPN 結構所面臨的安全問題。

VPN 的使用與使用者體驗:

VPN 有著廣泛的應用,84%的受訪者將遠端員工訪問視為其主要用途。然而,使用者報告顯示體驗不盡理想,大多數用戶對其 VPN 體驗表示不滿意(72%),這突顯了數位工作場所需要更為用戶友善且可靠的遠端訪問解決方案。

主要攻擊媒介:

有一半的組織在去年面臨與 VPN 相關的攻擊。由於 VPN 在業務運營和溝通中扮演著關鍵角色,所以對VPN攻擊的關注顯得尤為重要。另外,第三方用戶,如承包商和供應商,成為潛在的網路惡意訪問後門,使得網路安全團隊的工作變得更加複雜。在調查中,有九成的受訪者對第三方充當潛在角色,通過VPN進入其網路的後門感到擔憂。

擁抱零信任:

向零信任模式的轉變已成為大多數組織的重要議程。大約九成的受訪者將採用零信任視為重點領域,超過四分之一(27%)已開始實施零信任。有37%的受訪者計劃將其 VPN 替換為零信任網路訪問(ZTNA)解決方案。

終端用戶與 VPN 的挑戰

在處理 VPN 問題時,最常見的用戶投訴是在訪問應用程式時連接速度緩慢,佔25%的受訪者報告。其他值得注意的問題包括使用VPN時連接中斷(21%),以及不同設備之間的用戶體驗不一致/平台(16%)。

鑑於這些發現,改善遠端連線的用戶體驗被認為是許多組織的優先考慮事項。穩定且可靠的訪問體驗不僅有助於提升生產力,同時通過鼓勵遵循安全政策來增強安全性。


改進的範圍包括優化網路,以最大程度地減少連接速度緩慢和連接中斷的問題,簡化 VPN 身份驗證過程,確保用戶在不同平台上有一致的經驗。同時,建立健全的支援機制也是關鍵,可以幫助用戶排除故障並解決他們在使用 VPN 時可能遇到的任何困難。

您的用戶在通過 VPN 訪問應用程式時最常見的投訴是什麼?

Zscaler 2023 年VPN風險綜合報告 | 您的用戶在通過 VPN 訪問應用程序時報告的最常見的投訴是什麼?

主要 VPN 用例 : 員工遠端連線

VPN 在遠端連接方面具有悠久的歷史,它使員工能夠連接到組織的網路,促進了多種用例,例如遠端工作和第三方連接。


在大多數情況下,組織(84%)的主要目標是允許遠端員工訪問。這反映出遠端工作的趨勢近年來顯著增加。然而有趣的是,只有 11% 的組織使用 VPN 來管理對非託管設備的訪問,這指出組織在這個可能存在的脆弱領域還沒有完全解決問題。

您的組織使用 VPN 的主要目的是什麼?

高度依賴 VPN

許多終端用戶(70%)每天或幾乎每天使用 VPN,表現出對日常和例行業務運營高度的依賴。加上每週使用 VPN 4-5 次的用戶,77% 的受訪者幾乎每天都使用 VPN 工作。有趣的是,沒有一個受訪者表示使用 VPN 的頻率低於每月一次,這證實了 VPN 技術的廣泛採用。鑑於使用頻率如此之高,確保遠端連線 / VPN 服務的一致可用性和強大安全性至關重要。

您的最終用戶使用 VPN 的頻率如何?

用戶體驗問題

VPN 服務的性能和用戶體驗對組織的生產力和整體運營效率有顯著影響。速度緩慢或經常斷開的 VPN 可能會嚴重干擾業務運營,並使用戶感到沮喪。根據調查結果,用戶在使用 VPN 服務時最重要的問題是連接速度緩慢和頻繁斷線,有 32% 的受訪者報告了這些問題。


鑑於這些結果,組織應優先考慮改進遠端連線服務的用戶體驗,這可能包括增加服務器容量或選擇速度和穩定性出色的解決方案。有趣的是,儘管存在某些問題,組織在近年來針對 VPN 的網路攻擊中將安全性排名較低。

您的組織在使用當前 VPN 服務時遇到的最重要問題是什麼?

Zscaler 2023 年VPN風險綜合報告 | 您的組織在使用當前 VPN 服務時遇到的最重要問題是什麼?

用戶對 VPN 的不滿意

評估用戶對 VPN 體驗的滿意度至關重要,因為不滿意不僅會影響生產力,還可能導致違反安全政策,這可能引入安全漏洞。


絕大多數用戶(72%)對他們的 VPN 經驗不滿意,突顯了提升用戶友好和可靠的遠端連線的解決方案在工作場所中的至關重要。

您的用戶對其 VPN 體驗有多不滿意?

絕大多數用戶(72%)對他們的 VPN 經驗不滿意,突顯了提升用戶友好和可靠的遠端訪問的解決方案在工作場所中的至關重要。

VPN 管理挑戰

調查顯示,最令人困擾的 VPN 管理挑戰包括平衡 VPN 性能與用戶體驗(22% 的受訪者),VPN 連接和穩定性問題的故障排除(影響了近 20% 的受訪者),以及經常需要進行軟體補丁和更新(18% 的受訪者)。有趣的是,只有 9% 的受訪者表示 VPN 基礎設施成本不斷上升是他們最困擾的事情。

VPN 基礎設施的管理中最頭疼的是什麼?

Zscaler 調查顯示,最令人困擾的 VPN 管理挑戰包括平衡 VPN 性能與用戶體驗(22% 的受訪者),VPN 連接和穩定性問題的故障排除(影響了近 20% 的受訪者),以及經常需要進行軟體補丁和更新(18% 的受訪者)。有趣的是,只有 9% 的受訪者表示 VPN 基礎設施成本不斷上升是他們最困擾的事情。

VPN 安全問題

對於保護組織敏感數據及系統,遠端連線方案提供的安全層級至關重要。面對日益先進的 VPN,其設計和管理方式將影響網路威脅的增強或削弱,可能對組織安全造成影響。


根據調查結果顯示,絕大多數受訪者(88%)對其 VPN 的安全性感到擔憂。特別值得注意的是,有 22% 的受訪者報告感到「非常」或「極其」擔憂,顯示人們對 VPN 作為潛在安全風險的焦慮。

您是否擔心 VPN 可能會損害您保護環境安全的能力?

第三方安全問題

雖然將 VPN 用於授予第三方訪問權限在商業實踐上是必要的,但也引發了嚴重的安全問題。鑒於第三方實體可能未遵守同等嚴格的網路安全標準,它們可能成為攻擊者進入組織網路的後門。


在調查中,絕大多數受訪者(90%)對第三方 VPN 服務表示擔憂,因為這可能成為後門攻擊的通道。總計 35% 的人表示感到「非常」或「極其」擔憂,表明第三方 VPN 訪問是令人焦慮的重要來源。


組織應在向第三方授予 VPN 訪問權限時實施嚴格的安全措施。這可能包括定期審查和更新訪問權限、強制實施密碼策略,並監控網路異常活動。此外,組織應確保第三方遵守其網路安全政策,並考慮使用先進技術,如零信任架構,僅根據需要授予訪問權限。

您是否憂心第三方透過VPN進入成為潛在的後門,
對您的網路造成威脅?

網路釣魚攻擊佔網路攻擊的一半

VPN 漏洞問題存在已久,要求 IT 團隊持續修補 VPN 服務器。這可能使組織暴露於不斷進化的威脅行為,各種網路攻擊變得更加成熟和創新。


調查顯示,受訪者認為網路釣魚攻擊(49%)和勒索軟件攻擊(40%)最有可能利用 VPN 漏洞來攻擊組織。這些攻擊通常涉及欺騙用戶洩露敏感信息或部署惡意軟件,直到支付贖金。

您認為哪種類型的網路攻擊最有可能利用您組織的 VPN 漏洞?

Zscaler 2023 年VPN風險綜合報告 | 您認為哪種類型的網路攻擊最有可能利用您組織的 VPN 漏洞?

二分之一的組織經歷過與 VPN 相關的攻擊

VPN 服務器的安全性對於維護處理的數據的完整性和機密性至關重要。隨著組織越來越依賴 VPN 進行遠端工作,任何漏洞都可能成為網路攻擊者的目標。


根據調查,相當一部分組織(45%)在過去 12 個月內經歷過對其 VPN 服務器的攻擊,這凸顯了對更安全的遠端連線解決方案的迫切需求。

在過去 12 個月中,
您的組織是否經歷過利用 VPN 服務器中的安全漏洞的攻擊?

零信任策略至關重要

採用零信任策略是保護組織的首要任務,這種策略基於「永不信任,始終驗證」的模式。組織應優先考慮強大的多因素身份驗證、持續流量驗證、網路分段、最低權限訪問,並持續監測以增強其安全狀態。

為您的組織採用零信任策略有多重要?

實施零信任是首要重點

92% 的組織已實施(27%)、計劃實施(42%)或正在考慮零信任策略,顯示組織對其重要性的認識,零信任正從流行語變為實際應用。


尚未確定實施時間表的組織應考慮加快計劃,以保持競爭力和安全性。未計劃或不確定的組織可能會面臨落後於迅速發展的網路安全威脅環境的風險。

您對組織採用零信任策略有何計劃?

VPN 過渡計劃

從VPN過渡到零信任網路訪問(ZTNA)解決方案,標誌著現代的重大轉變。考慮到高度關注,網路安全策略將關注ZTNA所固有的最低特權訪問和微分段。有四分之一的組織正在積極推進ZTNA的過渡,以因應不斷變化的安全需求。


對於計劃或正在考慮轉換的組織來說,評估和選擇適合的ZTNA解決方案至關重要,以滿足其特定的安全需求和業務需求。目前尚未計劃採用ZTNA的人至少應該探索這些解決方案,以加強其網路安全防護。對於無法完全轉換的公司而言,混合模式可能是有益的選擇,既能提供ZTNA的優勢,又能利用現有的VPN基礎設施。

您是否計劃在不久的將來將當前的 VPN 解決方案替換為
零信任網路訪問 (ZTNA) 解決方案?

零信任之旅的最佳實踐

我們建議採用以下最佳實踐,以成功實現從傳統VPN基礎設施向現代零信任架構的轉變。

評估您目前的基礎設施

首先仔細審查您現有的VPN基礎設施。有32%的受訪者表示用戶體驗不佳,14%的受訪者認為成本較高。因此,在繼續操作之前,了解您面臨的具體問題至關重要。

選擇正確的解決方案

尋找符合您獨特需求的零信任解決方案。雲原生和軟體定義的解決方案可以簡化管理、降低成本並改善用戶體驗,這也是VPN常遇到的問題。

實施最低特權訪問

根據用戶角色的具體需求,僅授予用戶對特定資源的必要訪問權限。這是零信任策略的基本要素。

可擴展性計劃

選擇能夠隨著您業務增長而擴展的解決方案。我們的調查顯示,約有11%的組織面臨VPN可擴展性的問題。基於雲的解決方案可以有效地滿足擴展需求。

定期審查和更新您的安全策略

建立持續審查和更新安全策略的習慣。這有助於維持強大的安全姿態。

為所有用戶啟用安全訪問

選擇一個能夠為遠端員工、第三方和非受管設備提供安全訪問的解決方案。選擇一個支援任何用戶、任何地點和任何設備的平台。

持續監控和改進

採用持續監控策略,在潛在問題升級之前識別並響應。主動威脅檢測和響應是成功實施零信任的關鍵。

方法論和人口統計

本報告於2023年6月根據對382名IT和網路安全專業人員進行的全面線上調查的結果,以確定與 VPN 風險相關的最新企業採用趨勢、挑戰、差距和解決方案偏好。受訪者範圍涵蓋技術主管,面向IT安全從業者,代表來自不同行業的不同規模的組織。


這份2023年 VPN 風險綜合報告基於對382名IT專業人員和網路安全專家的調查,探討了多方面的安全和用戶體驗挑戰。更揭示了現今VPN 管理的複雜性、用戶體驗問題、各種網路攻擊的漏洞,以及這些攻擊可能對更廣泛的安全態勢造成的損害。

Zscaler 2023 年VPN風險綜合報告 | 方法論和人口統計

這份 2023 年 VPN 風險綜合報告基於對 382 名 IT 專業人員和網路安全專家的調查,探討了多方面的安全和用戶體驗挑戰。揭示了現今 VPN 管理的複雜性、用戶體驗問題、各種網路攻擊的漏洞,以及這些攻擊可能對更廣泛的安全態勢造成的損害。

本篇調查報告翻譯自 Zscaler 2023 VPN Risk Report 、 Cybersecurity Insiders www.cybersecurity-insiders.com

Zscaler 線上研討會 | [真] 零信任平台,重新定義無邊界網路安全

Zscaler 零信任架構網路安全平台

以 SASE 架構服務提供雲端存取監控、網頁安全、網路防火牆、資料外洩防護、沙箱檢測等多種全球化的雲端資安解決方案

了解更多

更多產品資訊 | Zscaler Zero Trust Exchange Explained | 5-min Overview

Tagged with: