VPN’lerin Sonu – Bölüm 1: Neden erişilebilirlik yeni risktir?


[Part 1 of 2 – Based on an interview with Zscaler CSO Deepen Desai]

Holger Schulze, Siber Güvenlik İçereği

2025 RSA konferans katı bu ayın başlarında vızıldıyordu – her stant, maksimum güvenlik vaat ediyor, her satıcı AI iddia ediyor. Ama güvenli erişim hakkında konuşmak için DeSai’yi daha sessiz bir odada derinleştirdiğimde, doğrudan noktaya geldi:

“VPN’ler tasarıma göre maruz kalıyor” dedi. “Ve maruz kalan her şey sömürülebilir.”

Desai, Zscaler’ın baş güvenlik görevlisidir. Bulut güvenliğinde en tanınmış araştırma ekiplerinden biri olan Tehditlabz’a liderlik ediyor. Ekibi, eski uzaktan erişim altyapısının modern girişimde nasıl başarısız olduğuna dair sınırsız bir değerlendirme olan 2025 VPN risk raporunu yeni yayınlamıştı.

Sadece sayılar bir dönüm noktasına işaret eder:

  • Kuruluşların% 65’i 12 ay içinde VPN’leri ortadan kaldırmayı planlıyor
  • % 81’i sıfır güven mimarisine doğru ilerliyor
  • % 92’si, satılmamış VPN’lerin fidye yazılımı saldırılarına yol açacağından endişe duyuyor

Ama bu sayılar başlık değildi. Gerçek hikaye Desai’nin bir sonraki söylediği şeydi.

“VPN’lerle ilgili sorun yanlış yapılandırma değil. Kullanıcıları ağa yerleştirerek tam olarak tasarlandığı gibi çalışıyorlar. Bu kusur.”

Saldırı Yüzeyine Erişimden – Patlama Yarıçapı Ağ

VPN’ler yıllarca uzaktan erişime varsayılan cevap olarak hizmet etti. Tanıdık, konuşlandırılabilir ve “yeterince güvende” idi. Ancak artık inşa edildikleri dünya yok. Ve günümüzün hibrit çalışmasında ve bulut ilk ortamında, bu aşinalık kullanıcılardan iç ortamlara tüneller oluşturdukları için tehlikelidir: çünkü kimlik doğrulandıktan sonra, VPN’ler ağ düzeyinde erişim sağlar.

“VPN’ler sizi bir uygulamaya bağlamaz,” Desai açıkladı. “Sizi ağa koyuyorlar – ve orada olduğunuzda, tüm yönlendirme masası adil bir oyun.”

2020 ve 2025 yılları arasında Zscaler tehdidi, 400’den fazla CVVE’yi, MITER CVE programı tarafından bildirildiği gibi VPN aletlerine bağlandı. Sadece 2024’te yeni VPN güvenlik açıklarının% 60’ı yüksek veya kritik olarak derecelendirildi. Bu kusurlar, saldırganların kimlik doğrulamasını atlamasına, kodu uzaktan yürütmesine veya kaçırma oturumlarını açıkça görmesine izin verdi. Ve düşmanlar beklemiyor.

Ve Desai’nin işaret ettiği gibi, saldırganlar genellikle satıcıların yamalayabileceğinden daha hızlı sömürüyorlar.

“Fidye yazılımı gruplarının piyasaya sürüldükten sonraki saatler içinde tersine mühendislik VPN satıcı yamalarını gördük.” dedi. “Bir sonraki sıfır gün istismarını beklemelerine gerek yok. Sadece güncelleme notlarını izlemeleri gerekiyor.”

İçeri girdikten sonra, VPN’ler yerleşik segmentasyon sunmaz. Kimliğe duyarlı erişim yok. Muhafaza yok.

Bu oyunu defalarca gördük. Son 24 ay içinde, Citrix, Pulse Secure ve Ivanti VPN’leri hedefleyen saldırılar, acil yama döngülerini, büyük kesintileri zorladı ve – en az bir durumda ABD federal ajanslarına bir ihlali önlemek için cihazları fiziksel olarak ayırmaları emredildi.

“Bir devlet kurumu size VPN cihazınızı çıkarmanızı söylediğinde,” Desai dedi ki, “Bu bir güvenlik danışmanlığı değil. Bu bir ölüm ilanı.”

İhlal planı: Sömürünün dört aşaması

VPN’leri bugün bu kadar tehlikeli kılan şey sadece ulaşılabilir olmaları değil, uzlaştıktan sonra etkinleştirdikleri şey budur. Desai bir plan gibi kırıldı, çünkü saldırganlar tam olarak böyle görüyor:

  1. Maruz kalan bir VPN uç noktası bulun— İnternet veya CVE meta verileri üzerinde eğitilmiş bir LLM sorgulayın.
  2. Cihazdan ödün ver– Via kimlik bilgileri, kimlik avı veya bilinen bir istismar.
  3. Yanal hareket et– VPN’ler sizi geniş erişimle iç ağa yerleştirir.
  4. Pes veya şifreleyin—Bir veriler veya fidye yazılımlarını patlatın.

“Cihazınız tehlikeye girerse,” Desai uyardı, “Patlama yarıçapı, VPN’nizin ağda ulaşabileceği her şeydir. Ve çoğu VPN ile bu çok fazla.”

AI kuralları değiştiriyor ve eski modeli kırıyor

Desai ayrıca saldırganların sadece eski savunmalara uyum sağlamadıklarını vurguladı. Onları otomatikleştiriyorlar.

“Zaten tehdit aktörlerinin keşifleri ölçeklendirmek için yapay zekayı kullandığını görüyoruz” dedi. “CVE veritabanlarını sorgulamak, saldırıları planlamak ve çoğu takımın yama yapabileceğinden daha hızlı çalışma istismarları oluşturmak için GPT modelleri kullanıyorlar.”

Bu yeni dönemde, saldırganların artık haftalarca manuel araştırmaya ihtiyacı yok. 1.000 otomatik tarama çalıştırabilir, maruz kalan sistemleri bulabilir ve ölçeğe çarpabilirler.

“% 80 arıza oranını umursamıyorlar,” Desai ekledi. “100 saldırıdan 20’si başarılı olursa, kazanırlar. Ama bu şekilde çalışamayız. Her şeyi savunmalıyız.”

Ve savunucuların da yapay zeka (risk puanlama, anomali tespiti, otomatik politika üretimi) varken DeSai, savunma AI’nın sadece mimari basitleştirildiğinde çalıştığını açıkça ortaya koydu.

“Yapay zeka ile savaşmak için AI kullanın,” dedi. “Ama kırık bir erişim modelinden sonra temizlemek için AI’ya güvenmeyin. Önce sıfır güvene ihtiyacınız var – çünkü altyapınıza ulaşılabilirse, zaten kaybettiniz.”

Sıfır güven, riski azaltmaktan daha fazlasını yapıyor. Görünürlüğü ortadan kaldırır. Girişi reddediyor. ‘Enter’a basmadan önce saldırganın oyun kitabını kırar.

Sessiz maliyet: normalleştirilmiş kırılganlık, kurumsal risk

Desai’nin görüşü sadece dış tehditlerle ilgili değil. Ne dediğini gösterdi “Sessiz başarısızlık” VPN’lerin: BT’ye dayattıkları günlük maliyet, güvenlik ve son kullanıcılar.

“Kırıltıyı normalleştirdik,” Bana söyledi. “Düşen oturumlar, halsiz performans, sonsuz yardım masası biletleri – hepsi sadece uzaktan işin fiyatı olarak görülüyor. Ama bu şekilde olmak zorunda değil.”

VPN Risk Raporuna göre:

  • Takımların% 54’ü VPN’lerin tekrar eden bir kesinti veya destek artışları olduğunu söylüyor
  • % 41 VPN Bakımını Dahili kaynaklarda büyük bir tahliye çağırın
  • Kullanıcıların% 51’i bozulmuş uygulama performansını bildirmektedir
  • % 23’ü yavaşlamaların verimliliklerini doğrudan etkilediğini söylüyor

Sorun sadece VPN tüneli değil. Etrafındaki mimaridir – sürekli yama gerektiren, kamu IP’leri ortaya çıkaran ve herhangi bir kimlik doğrulamalı kullanıcının ağda olacak kadar güvenilir olduğunu varsayar.

Desai, “Güvenlik ekipleri yama aletleri takılıyor,” dedi. “Yardım masası takımları biletlere gömüldü. Bu arada, saldırganlar Recon’u ölçeklendirmek için AI kullanıyor. Bu adil bir kavga değil.”

Miras Riski: Üçüncü Taraf ve M&A maruziyeti

Desai’nin tehlikeli ve çok daha az görünür olduğunu düşündüğü başka bir başarısızlık modu var: VPN’ler üçüncü taraf risk için arka plan olarak.

“Yüklenicileriniz VPN üzerinden bağlanırsa, sadece uygulamalarınızı açığa çıkarmıyorsunuz,” dedi. “Çevrelerinde olan güvenlik açıklarını miras alıyorsunuz.”

Raporda belirtilen bir 2024 olayında, bir finansal hizmetler firması, saldırganların üçüncü taraf bir VPN bağlantısını kullandıktan ve yaklaşık 20.000 müşteriden veri açığa çıkardıktan sonra ihlal etti.

Ve birleşme ve devralmalar sırasında risk güçlendirilir.

“Saldırganlar haberi izliyor,” Dedi Desai. “Bir satın alma açıklandığında, daha küçük şirketi hedefliyorlar. Yalın, yetersiz korunmuştur ve genellikle VPN tarafından ebeveyne bağlı. Bu köprü – ve kimse izlemiyor.”

VPN gittiğinde ne olur

Peki VPN’den sonra hayat gerçekten neye benziyor?

Desai açık bir örnek sundu: 30.000’den fazla kullanıcıyla küresel bir işletme olan ManPowerGroup, geleneksel VPN’den Zscaler Özel Erişimine (ZPA) tamamen geçiş yaptı – sadece 18 gün içinde.

Etki sadece daha hızlı girişler veya basitleştirilmiş uygulama değildi. Mimari idi.

  • Maruz kalan IP adresi yok
  • Yan ağ erişimi yok
  • Uzaktan erişimle ilgili Yardım Masası Biletlerinde% 97 azalma
  • Kimlik ve politikaya dayalı uygulama erişimi – ağ düzeyi yönlendirme değil

“” Ağda “olma fikrini ortadan kaldırdığınızda,” Desai dedi ki, “Saldırganın oyun alanını ortadan kaldırıyorsun.”

Sırada geliyor: VPN’lerin sonu – sıfır güvenin vızıltısına göre

Bu serinin 2. Bölümünde, Zero Trust’ın VPN’leri nasıl değiştirdiğine – sadece markalaşmada değil, mimaride de derinlemesine gideceğiz. Zscaler’ın uygulamada sıfır güvenini nasıl uyguladığını, kimliğin-alt ağ değil-yeni çevre olduğunu ve kuruluşların başlamadan önce yanal hareketi durdurmak için uygulama segmentasyonu ve aldatma işlemini nasıl kullandıklarını.

Çünkü güvenli erişimin geleceği daha güvenli tüneller oluşturmakla ilgili değildir. VPN tünellerine olan ihtiyacını tamamen ortadan kaldırmakla ilgilidir.

Reklam

LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!



Source link