VPN是從外網進入內網的核心節點，類似的節點還有IPS、IDS等，這些節點是內網和外網邊界的核心節點，如果被攻克的話，黑客就能事半功倍的進入內網，如入無人之境，帶來的收益是及其誘人的，同時VPN這個品類本身的產品滲透率就比IPS、IDS等這些產品高，因此更容易成為黑客最常攻擊的目標。

　　以國外的VPN為例，除了上述美國政府面臨的VPN問題之外，在過去一年中海外的其他VPN服務提供商例如：Palo Alto Networks、Fortinet、Cisco等都被披露有嚴重安全漏洞。從身份驗證失效，到遠程代碼執行問題，從登錄信息泄漏，到權限管理失效。以Cisco為例子，最近就出現了遠程代碼執行的漏洞，例如CVE-2020-3323和CVE-2020-3331黑客能夠利用該漏洞控制Cisco用戶的服務器。國內的VPN也一樣，目前國內市場占有率靠前的深信服，其VPN也面臨同樣的情況，也在今年被爆出了漏洞。

　　安全廠商需要提升產品安全性并保持透明，用戶也要逐步增強安全意識。

　　從廠商的角度，VPN廠商應該在加大安全投入的同時還需要確保和客戶保持漏洞信息透明。

　　一方面，安全廠商應該建立軟件安全研發流程，積極應用落實SDL或DevSecOps等。在需求、設計、發布、運營的軟件開發全生命周期中落地安全動作，通過安全培訓、威脅建模、安全測試等手段盡可能的前移發現安全漏洞；并通過建立質量門限把關產品安全交付質量，從而提升產品整體安全質量；實時關注安全情報，通過有效及時的應急響應機制，保障安全事件的有效止損和處置，最大化降低安全問題與事件對產品和用戶的影響。

　　另一方面，安全廠商需要建設更好的產品漏洞通知和維護機制。Google在這方面就做了良好的示范，首先Google 實施了漏洞管理流程，其商業化工具和內部專門構建的工具來掃描軟件漏洞，并通過自動和手動滲透工作、質量保證流程、軟件安全審查和外部審核來確保軟件的安全性。然后Google成立了專門的漏洞管理團隊負責跟蹤和跟進漏洞。當Google確定了需要修復的漏洞之后，便會記錄漏洞，并根據嚴重程度確定優先級，然后為其分配所有者。然后Google漏洞管理團隊會跟蹤此類問題，并經常跟進，直至確認問題已得到修復。

　　從用戶的角度，也需要意識到VPN作為系統邊界的重要性，要認真對待官方發出的漏洞預警并及時響應。《網絡安全法》規定關鍵信息基礎設施的運營者須對重要系統和數據進行容災備份，并對系統漏洞等安全風險采取相應的補救措施。省級以上政府有關部門、中央網信部門、公安部門會對關鍵信息基礎設施不定期開展抽查和檢測工作，針對較大安全風險或安全事件，會提出整改要求，甚至給予行政處罰。

　　VPN為各類單位的遠程連接提供了有力保證，使得各類單位的業務能夠快速而高效的擴展到天南海北。雖然目前也有很多從業者在提VPN已經過時，現在應該使用零信任了，但因為短期內零信任的落地障礙，估計VPN被零信任完全取代還有很長的路要走。為確保VPN產品的安全使用，廠商與用戶應齊心協力，一同打造更加安全的網絡環境。