隨著越來越多的用戶從不同位置訪問公司數據,并且大量數據超出了傳統外圍防御的范圍,對遠程訪問安全性的需求從未像今天這樣緊迫。在這篇文章中,我們將討論實施遠程訪問安全的重要性、旨在減輕的風險以及這種類型的安全控制帶來的其他好處。
遠程訪問安全重要性
十年前,如果一個人去上班,那通常意味著去辦公室。這通常也意味著使用辦公室 PC 以及安裝/存儲在這些固定端點設備上的軟件應用程序和文件。隨著人們開始發現遠程工作和利用基于云的應用程序的好處,這種情況逐漸發生了變化。
快進到今天,遠程工作(無論是全職還是兼職)以及使用基于云的應用程序現在已成為常態,這在很大程度上是由 COVID 引起的鎖定以及公司發起的保持員工遠離病毒。當一個人今天去上班時,這通常意味著在家中執行與工作相關的任務,并通常從自帶設備 (BYOD)端點遠程訪問公司文件、應用程序甚至虛擬桌面。
為了讓用戶遠程訪問托管在公司服務器上的文件和應用程序(無論是在本地數據中心還是在公共云中),企業通常會采用遠程桌面協議 (RDP)、虛擬專用網絡 (VPN) 等技術,或者在軟件即服務 (SaaS) 應用程序、超文本傳輸??協議 (HTTP) 的案例。
無論企業采用何種遠程訪問技術/協議,單獨執行遠程訪問的行為都會使用戶和公司數據面臨一定的風險。
遠程訪問安全風險
當用戶開始訪問您的外圍防御之外的數字資產時(更不用說通過非托管設備訪問),風險的數量實際上可能變得數不勝數。以下是用戶在執行遠程訪問時面臨的一些風險:
- 允許的虛擬專用網絡。傳統上,VPN 僅由 IT 人員使用。這意味著與普通用戶相比,配置這些工具的訪問級別相對較高。不幸的是,當這些普通用戶通過這些 VPN 獲得遠程訪問權限時,這些配置甚至VPN的防火墻規則都基本保持不變。這為用戶提供了對超出其角色范圍的資源和系統的特權訪問。自然,如果威脅者以某種方式設法接管了用戶的 VPN 帳戶,那么該人也將獲得同樣的提升權限。
- 易受攻擊的遠程設備。大多數用戶缺乏保護自己設備的意識和技能。如果他們使用的是公司管理的、基于辦公室的工作站,那就太好了。安全人員可以負責修補、加固和保護這些設備。但是,遠程用戶通常用于工作的設備是 BYOD 設備(例如,他們的家用 PC 或個人筆記本電腦),它們不會接受這種處理,因此會面臨各種威脅,例如惡意軟件、未經授權的訪問、被家庭成員濫用等
- 遠程設備的可見性有限。為了讓網絡安全人員監控用戶端點設備或對其實施控制,必須管理這些設備,即注冊到公司系統管理軟件、移動設備管理系統或任何類似的解決方案中。這為安全人員提供了他們需要的可見性。不幸的是,遠程用戶的設備通常不受管理。因此,如果他們受到威脅,安全人員將無法知道或解決問題。
- 混合個人密碼和工作密碼。人們有這種重復使用密碼的傾向。這種做法使遠程用戶極易受到撞庫攻擊,撞庫是一種攻擊媒介,用于通過輸入從以前的數據泄露或黑客事件中竊取的密碼來侵入用戶帳戶。這是因為,例如,威脅行為者可能會使用該用戶被盜的密碼登錄到合法用戶的 RDP 帳戶。純粹基于辦公室的用戶不會受到這些攻擊,因為威脅者必須在該用戶的辦公室 PC 前才能侵入該用戶的工作帳戶。
- 網絡釣魚攻擊的條件更容易。即使用戶在辦公室工作,也可能發生網絡釣魚攻擊。但至少在那里,通常有多層安全性。其中一個——URL 過濾解決方案、網絡安全平臺,甚至是安全運營中心 (SOC) 團隊——總是很有可能阻止網絡釣魚攻擊。在家里或咖啡店,用戶不受相同級別的保護。
盡管進行遠程訪問存在風險,但遠程工作仍然存在。因此,組織采用安全控制措施以確保這些遠程訪問會話不會使其數字資產受到損害非常重要。
保護遠程訪問的安全技術
與網絡安全的其他領域一樣,保護遠程訪問沒有靈丹妙藥。相反,有效的遠程訪問安全策略應該涉及多層保護。您可以使用的一些控件如下:
- 虛擬專用網。雖然虛擬專用網絡或 VPN 并不完美,并且從用戶體驗 (UX) 的角度來看可能存在問題,但許多組織已經擁有它們。這是因為它們長期以來一直是 IT 團隊進行遠程訪問的首選工具。因此,如果您的組織已經安裝了 VPN,那么建立遠程訪問安全性將是一個快速的勝利。VPN 使用隧道和/或加密技術來保護連接,當用戶在公共 Wi-Fi 等不安全的網絡上時可以派上用場。
- 零信任網絡訪問 (ZTNA)。ZTNA是保護遠程訪問安全的更高級選項之一,它是一組控件,可根據特定上下文(例如,用戶身份、客戶端設備安全性、用戶位置等)限制對資源的遠程訪問。每當授予訪問權限時,它都受最小特權原則的約束,其中訪問權限僅限于完成特定任務或執行特定角色所需的資源(通常是應用程序和/或數據)。
- 多因素身份驗證 (MFA)。強大、冗長的密碼旨在阻止暴力攻擊和其他傳統攻擊媒介。不幸的是,他們沒有機會抵御撞庫和社會工程等其他攻擊。為了保護您的遠程用戶的帳戶免受惡意帳戶接管,您需要使用其他身份驗證因素來增加密碼,例如生物識別、SMS 或基于時間的一次性密碼 (OTP)、私鑰、令牌等。這將防止即使密碼被泄露,也可以進行未經授權的遠程訪問。
- 特權訪問管理 (PAM)。由于其角色和職責的性質,特權帳戶(例如分配給系統管理員、超級用戶等的帳戶)通常對系統、應用程序和數據具有更大的訪問權限。因此,由于特權帳戶受損可能會產生嚴重后果,因此使用 PAM 很重要,尤其是在特權帳戶執行遠程訪問并因此暴露于我們前面討論的威脅的情況下。PAM 是一組用于管理、監視和控制特權帳戶的控件,它可以確保在帳戶遭到入侵時,不良行為者不會造成重大損害。
遠程訪問安全優勢
正確實施的遠程訪問安全策略可以大大增強您組織的安全狀況。這樣的策略可以提供幫助,因為它:
- 從任何設備和位置提供高度安全的訪問。遠程訪問安全性使用戶可以在任何設備和位置自由工作,而不會將公司應用程序和數據置于危險之中。
- 保證安全的互聯網瀏覽。遠程用戶實際上生活在互聯網上。因此,重要的是要確保他們在那里執行的活動,無論是與工作相關的還是其他方面的,都不會使您的數字資產面臨風險。遠程訪問安全控制可以在這方面提供幫助。
- 屏蔽端點。一些遠程訪問安全工具是更全面的安全解決方案的一部分,該解決方案還可以保護端點本身。雖然這些工具可能有點侵入性,因為它們通常需要在端點設備上安裝代理軟件,但它們甚至可以為 BYOD 設備提供保護。
- 提高安全意識。完整的遠程訪問安全策略應包括用戶教育。這使用戶能夠認識到遵守安全訪問策略的重要性。
