隨著越來越多的用戶從不同位置訪問公司數(shù)據(jù),并且大量數(shù)據(jù)超出了傳統(tǒng)外圍防御的范圍,對(duì)遠(yuǎn)程訪問安全性的需求從未像今天這樣緊迫。在這篇文章中,我們將討論實(shí)施遠(yuǎn)程訪問安全的重要性、旨在減輕的風(fēng)險(xiǎn)以及這種類型的安全控制帶來的其他好處。
遠(yuǎn)程訪問安全重要性
十年前,如果一個(gè)人去上班,那通常意味著去辦公室。這通常也意味著使用辦公室 PC 以及安裝/存儲(chǔ)在這些固定端點(diǎn)設(shè)備上的軟件應(yīng)用程序和文件。隨著人們開始發(fā)現(xiàn)遠(yuǎn)程工作和利用基于云的應(yīng)用程序的好處,這種情況逐漸發(fā)生了變化。
快進(jìn)到今天,遠(yuǎn)程工作(無論是全職還是兼職)以及使用基于云的應(yīng)用程序現(xiàn)在已成為常態(tài),這在很大程度上是由 COVID 引起的鎖定以及公司發(fā)起的保持員工遠(yuǎn)離病毒。當(dāng)一個(gè)人今天去上班時(shí),這通常意味著在家中執(zhí)行與工作相關(guān)的任務(wù),并通常從自帶設(shè)備 (BYOD)端點(diǎn)遠(yuǎn)程訪問公司文件、應(yīng)用程序甚至虛擬桌面。
為了讓用戶遠(yuǎn)程訪問托管在公司服務(wù)器上的文件和應(yīng)用程序(無論是在本地?cái)?shù)據(jù)中心還是在公共云中),企業(yè)通常會(huì)采用遠(yuǎn)程桌面協(xié)議 (RDP)、虛擬專用網(wǎng)絡(luò) (VPN) 等技術(shù),或者在軟件即服務(wù) (SaaS) 應(yīng)用程序、超文本傳輸??協(xié)議 (HTTP) 的案例。
無論企業(yè)采用何種遠(yuǎn)程訪問技術(shù)/協(xié)議,單獨(dú)執(zhí)行遠(yuǎn)程訪問的行為都會(huì)使用戶和公司數(shù)據(jù)面臨一定的風(fēng)險(xiǎn)。
遠(yuǎn)程訪問安全風(fēng)險(xiǎn)
當(dāng)用戶開始訪問您的外圍防御之外的數(shù)字資產(chǎn)時(shí)(更不用說通過非托管設(shè)備訪問),風(fēng)險(xiǎn)的數(shù)量實(shí)際上可能變得數(shù)不勝數(shù)。以下是用戶在執(zhí)行遠(yuǎn)程訪問時(shí)面臨的一些風(fēng)險(xiǎn):
- 允許的虛擬專用網(wǎng)絡(luò)。傳統(tǒng)上,VPN 僅由 IT 人員使用。這意味著與普通用戶相比,配置這些工具的訪問級(jí)別相對(duì)較高。不幸的是,當(dāng)這些普通用戶通過這些 VPN 獲得遠(yuǎn)程訪問權(quán)限時(shí),這些配置甚至VPN的防火墻規(guī)則都基本保持不變。這為用戶提供了對(duì)超出其角色范圍的資源和系統(tǒng)的特權(quán)訪問。自然,如果威脅者以某種方式設(shè)法接管了用戶的 VPN 帳戶,那么該人也將獲得同樣的提升權(quán)限。
- 易受攻擊的遠(yuǎn)程設(shè)備。大多數(shù)用戶缺乏保護(hù)自己設(shè)備的意識(shí)和技能。如果他們使用的是公司管理的、基于辦公室的工作站,那就太好了。安全人員可以負(fù)責(zé)修補(bǔ)、加固和保護(hù)這些設(shè)備。但是,遠(yuǎn)程用戶通常用于工作的設(shè)備是 BYOD 設(shè)備(例如,他們的家用 PC 或個(gè)人筆記本電腦),它們不會(huì)接受這種處理,因此會(huì)面臨各種威脅,例如惡意軟件、未經(jīng)授權(quán)的訪問、被家庭成員濫用等
- 遠(yuǎn)程設(shè)備的可見性有限。為了讓網(wǎng)絡(luò)安全人員監(jiān)控用戶端點(diǎn)設(shè)備或?qū)ζ鋵?shí)施控制,必須管理這些設(shè)備,即注冊(cè)到公司系統(tǒng)管理軟件、移動(dòng)設(shè)備管理系統(tǒng)或任何類似的解決方案中。這為安全人員提供了他們需要的可見性。不幸的是,遠(yuǎn)程用戶的設(shè)備通常不受管理。因此,如果他們受到威脅,安全人員將無法知道或解決問題。
- 混合個(gè)人密碼和工作密碼。人們有這種重復(fù)使用密碼的傾向。這種做法使遠(yuǎn)程用戶極易受到撞庫攻擊,撞庫是一種攻擊媒介,用于通過輸入從以前的數(shù)據(jù)泄露或黑客事件中竊取的密碼來侵入用戶帳戶。這是因?yàn)椋纾{行為者可能會(huì)使用該用戶被盜的密碼登錄到合法用戶的 RDP 帳戶。純粹基于辦公室的用戶不會(huì)受到這些攻擊,因?yàn)橥{者必須在該用戶的辦公室 PC 前才能侵入該用戶的工作帳戶。
- 網(wǎng)絡(luò)釣魚攻擊的條件更容易。即使用戶在辦公室工作,也可能發(fā)生網(wǎng)絡(luò)釣魚攻擊。但至少在那里,通常有多層安全性。其中一個(gè)——URL 過濾解決方案、網(wǎng)絡(luò)安全平臺(tái),甚至是安全運(yùn)營中心 (SOC) 團(tuán)隊(duì)——總是很有可能阻止網(wǎng)絡(luò)釣魚攻擊。在家里或咖啡店,用戶不受相同級(jí)別的保護(hù)。
盡管進(jìn)行遠(yuǎn)程訪問存在風(fēng)險(xiǎn),但遠(yuǎn)程工作仍然存在。因此,組織采用安全控制措施以確保這些遠(yuǎn)程訪問會(huì)話不會(huì)使其數(shù)字資產(chǎn)受到損害非常重要。
保護(hù)遠(yuǎn)程訪問的安全技術(shù)
與網(wǎng)絡(luò)安全的其他領(lǐng)域一樣,保護(hù)遠(yuǎn)程訪問沒有靈丹妙藥。相反,有效的遠(yuǎn)程訪問安全策略應(yīng)該涉及多層保護(hù)。您可以使用的一些控件如下:
- 虛擬專用網(wǎng)。雖然虛擬專用網(wǎng)絡(luò)或 VPN 并不完美,并且從用戶體驗(yàn) (UX) 的角度來看可能存在問題,但許多組織已經(jīng)擁有它們。這是因?yàn)樗鼈冮L(zhǎng)期以來一直是 IT 團(tuán)隊(duì)進(jìn)行遠(yuǎn)程訪問的首選工具。因此,如果您的組織已經(jīng)安裝了 VPN,那么建立遠(yuǎn)程訪問安全性將是一個(gè)快速的勝利。VPN 使用隧道和/或加密技術(shù)來保護(hù)連接,當(dāng)用戶在公共 Wi-Fi 等不安全的網(wǎng)絡(luò)上時(shí)可以派上用場(chǎng)。
- 零信任網(wǎng)絡(luò)訪問 (ZTNA)。ZTNA是保護(hù)遠(yuǎn)程訪問安全的更高級(jí)選項(xiàng)之一,它是一組控件,可根據(jù)特定上下文(例如,用戶身份、客戶端設(shè)備安全性、用戶位置等)限制對(duì)資源的遠(yuǎn)程訪問。每當(dāng)授予訪問權(quán)限時(shí),它都受最小特權(quán)原則的約束,其中訪問權(quán)限僅限于完成特定任務(wù)或執(zhí)行特定角色所需的資源(通常是應(yīng)用程序和/或數(shù)據(jù))。
- 多因素身份驗(yàn)證 (MFA)。強(qiáng)大、冗長(zhǎng)的密碼旨在阻止暴力攻擊和其他傳統(tǒng)攻擊媒介。不幸的是,他們沒有機(jī)會(huì)抵御撞庫和社會(huì)工程等其他攻擊。為了保護(hù)您的遠(yuǎn)程用戶的帳戶免受惡意帳戶接管,您需要使用其他身份驗(yàn)證因素來增加密碼,例如生物識(shí)別、SMS 或基于時(shí)間的一次性密碼 (OTP)、私鑰、令牌等。這將防止即使密碼被泄露,也可以進(jìn)行未經(jīng)授權(quán)的遠(yuǎn)程訪問。
- 特權(quán)訪問管理 (PAM)。由于其角色和職責(zé)的性質(zhì),特權(quán)帳戶(例如分配給系統(tǒng)管理員、超級(jí)用戶等的帳戶)通常對(duì)系統(tǒng)、應(yīng)用程序和數(shù)據(jù)具有更大的訪問權(quán)限。因此,由于特權(quán)帳戶受損可能會(huì)產(chǎn)生嚴(yán)重后果,因此使用 PAM 很重要,尤其是在特權(quán)帳戶執(zhí)行遠(yuǎn)程訪問并因此暴露于我們前面討論的威脅的情況下。PAM 是一組用于管理、監(jiān)視和控制特權(quán)帳戶的控件,它可以確保在帳戶遭到入侵時(shí),不良行為者不會(huì)造成重大損害。
遠(yuǎn)程訪問安全優(yōu)勢(shì)
正確實(shí)施的遠(yuǎn)程訪問安全策略可以大大增強(qiáng)您組織的安全狀況。這樣的策略可以提供幫助,因?yàn)樗?/p>
- 從任何設(shè)備和位置提供高度安全的訪問。遠(yuǎn)程訪問安全性使用戶可以在任何設(shè)備和位置自由工作,而不會(huì)將公司應(yīng)用程序和數(shù)據(jù)置于危險(xiǎn)之中。
- 保證安全的互聯(lián)網(wǎng)瀏覽。遠(yuǎn)程用戶實(shí)際上生活在互聯(lián)網(wǎng)上。因此,重要的是要確保他們?cè)谀抢飯?zhí)行的活動(dòng),無論是與工作相關(guān)的還是其他方面的,都不會(huì)使您的數(shù)字資產(chǎn)面臨風(fēng)險(xiǎn)。遠(yuǎn)程訪問安全控制可以在這方面提供幫助。
- 屏蔽端點(diǎn)。一些遠(yuǎn)程訪問安全工具是更全面的安全解決方案的一部分,該解決方案還可以保護(hù)端點(diǎn)本身。雖然這些工具可能有點(diǎn)侵入性,因?yàn)樗鼈兺ǔP枰诙它c(diǎn)設(shè)備上安裝代理軟件,但它們甚至可以為 BYOD 設(shè)備提供保護(hù)。
- 提高安全意識(shí)。完整的遠(yuǎn)程訪問安全策略應(yīng)包括用戶教育。這使用戶能夠認(rèn)識(shí)到遵守安全訪問策略的重要性。
