A ideia central: as VPNs deixaram de ser a espinha dorsal do acesso seguro
As redes privadas virtuais (VPNs) foram o padrão para conectividade remota por mais de duas décadas. Mas, à medida que as empresas migraram para o trabalho híbrido e operações com prioridade na nuvem, as fragilidades das VPNs tornaram-se impossíveis de ignorar. Constatamos que, em apenas um ano, mais da metade das organizações sofreram ataques diretamente relacionados a vulnerabilidades de VPN.
Os atacantes estão usando cada vez mais vulnerabilidades de dia zero, credenciais roubadas e reconhecimento baseado em IA para explorar essas soluções de acesso obsoletas e infiltrar-se nas redes. Não é de admirar que a grande maioria das organizações planeje adotar uma estratégia de zero trust até 2026.
As VPNs aceleram os riscos em todas as dimensões
A pesquisa global do relatório, realizada com 632 profissionais de TI e cibersegurança, revelou quatro tendências principais:
- A obsolescência das VPNs está se acelerando. Nada menos que 65% das empresas pretende substituir suas VPNs dentro de um ano; 23% a mais do que no relatório do ano passado.
- A exploração de VPNs está aumentando. Este ano, 56% das organizações sofreram violações de segurança relacionadas a VPNs, e 92% temem que as VPNs as exponham a ataques de ransomware.
- A frustração com as VPNs está chegando ao limite. 51% das organizações afirmam que suas VPNs proporcionam experiências ruins aos usuários, e 37% reclamam dos altos custos.
- O zero trust está raídamente substituindo as VPNs. Quase todas as organizações (96%) já implementaram, estão planejando implementar ou adotaram uma estratégia zero trust.
As VPNs aumentam a probabilidade e o alcance dos ataques
Os grupos de ransomware descobriram que as VPNs são alvos fáceis, tornando-as alvos atraentes. Dispositivos sem as devidas atualizações de segurança e modelos de confiança implícita permitem que os atacantes implantem rapidamente ransomware e outros malwares, além de realizarem movimentação lateral com facilidade.
Em resposta, alguns fornecedores tradicionais de VPN renomearam as máquinas virtuais disponibilizadas na nuvem como soluções de zero trust. Do ponto de vista da arquitetura, porém, as VPNs hospedadas na nuvem ainda são serviços conectados à internet com endereços IP públicos que os invasores podem encontrar e violar.
Atualmente, 71% dos entrevistados classificam a movimentação lateral como uma das principais preocupações, visto que os modelos de confiança implícita das VPNs significam que um único usuário comprometido pode efetivamente condenar todo um ambiente. Os atacantes podem então usar seu amplo acesso à rede para escalar privilégios e roubar dados sigilosos antes de serem detectados.
As VPNs acarretam custos ocultos em termos de tempo de inatividade e fadiga
As VPNs legadas consomem enormes quantidades de recursos, sobrecarregando as equipes de TI, que já operam com recursos insuficientes. Custos exorbitantes de manutenção e proteção ineficaz estão tornando cada vez mais evidente que o modelo de VPN é insustentável.
Além disso, as VPNs estão causando dores de cabeça não apenas para as equipes de TI. Os usuários relatam frustrações com uma série de problemas das VPNs, desde baixo desempenho e dificuldades de login até a simples inacessibilidade a recursos essenciais. Esses problemas prejudicam a produtividade e aumentam o número de chamados ao suporte técnico.
O zero trust vem ganhando força de forma decisiva
A maioria das organizações reconhece que as VPNs já não conseguem atender às suas necessidades de segurança e acesso. Vulnerabilidades crescentes, experiências insatisfatórias para os usuários e demandas de manutenção estão afastando as organizações das VPNs em um ritmo histórico, e as impulsionando em direção a soluções modernas de acesso seguro, como o acesso à rede zero trust (ZTNA).
Para suprir as fragilidades das arquiteturas de VPN legadas, a grande maioria (96%) das organizações agora estão considerando ou buscando ativamente implementar uma estratégia zero trust em um futuro próximo.
O debate entre zero trust e VPN acabou
As VPNs já definiram o acesso remoto. Hoje, elas definem o risco. Os perímetros tradicionais ruíram e os atacantes estão explorando todas as brechas, desde vulnerabilidades de CVE não corrigidas até backdoors de terceiros.
Nossos resultados deixam uma coisa clara: as empresas precisam substituir suas VPNs por arquiteturas zero trust para se manterem resilientes contra as ameaças sofisticadas de hoje.
Baixe o relatório completo de riscos da VPN de 2025 da Zscaler ThreatLabz para obter informações, tendências e análises mais detalhadas, incluindo:
- As vulnerabilidades mais graves das VPNs, desde execução remota de código até contorno de autenticação.
- O que levou a algumas das violações de segurança de VPN de maior repercussão deste ano
- Riscos comerciais durante fusões e aquisições e acesso de terceiros, desde vulnerabilidades herdadas até backdoors em VPNs de fornecedores
- Estudos de caso reais, como o do ManPower Group, que reduziu os chamados de suporte técnico em 97% após substituir suas VPNs
- As 7 principais previsões de riscos para VPNs em 2025 e além, elaboradas por nossa equipe especializada em pesquisa de ameaças
- Práticas recomendadas que sua organização pode implementar hoje para eliminar riscos críticos de VPN