隨著越來越多的用戶從不同位置訪問公司數(shù)據(jù)，并且大量數(shù)據(jù)超出了傳統(tǒng)外圍防御的范圍，對遠(yuǎn)程訪問安全性的需求從未像今天這樣緊迫。在這篇文章中，我們將討論實施遠(yuǎn)程訪問安全的重要性、旨在減輕的風(fēng)險以及這種類型的安全控制帶來的其他好處。

遠(yuǎn)程訪問安全重要性

十年前，如果一個人去上班，那通常意味著去辦公室。這通常也意味著使用辦公室 PC 以及安裝/存儲在這些固定端點設(shè)備上的軟件應(yīng)用程序和文件。隨著人們開始發(fā)現(xiàn)遠(yuǎn)程工作和利用基于云的應(yīng)用程序的好處，這種情況逐漸發(fā)生了變化。

快進(jìn)到今天，遠(yuǎn)程工作（無論是全職還是兼職）以及使用基于云的應(yīng)用程序現(xiàn)在已成為常態(tài)，這在很大程度上是由 COVID 引起的鎖定以及公司發(fā)起的保持員工遠(yuǎn)離病毒。當(dāng)一個人今天去上班時，這通常意味著在家中執(zhí)行與工作相關(guān)的任務(wù)，并通常從自帶設(shè)備 (BYOD)端點遠(yuǎn)程訪問公司文件、應(yīng)用程序甚至虛擬桌面。

為了讓用戶遠(yuǎn)程訪問托管在公司服務(wù)器上的文件和應(yīng)用程序（無論是在本地數(shù)據(jù)中心還是在公共云中），企業(yè)通常會采用遠(yuǎn)程桌面協(xié)議 (RDP)、虛擬專用網(wǎng)絡(luò) (VPN) 等技術(shù)，或者在軟件即服務(wù) (SaaS) 應(yīng)用程序、超文本傳輸??協(xié)議 (HTTP) 的案例。

無論企業(yè)采用何種遠(yuǎn)程訪問技術(shù)/協(xié)議，單獨執(zhí)行遠(yuǎn)程訪問的行為都會使用戶和公司數(shù)據(jù)面臨一定的風(fēng)險。

遠(yuǎn)程訪問安全風(fēng)險

當(dāng)用戶開始訪問您的外圍防御之外的數(shù)字資產(chǎn)時（更不用說通過非托管設(shè)備訪問），風(fēng)險的數(shù)量實際上可能變得數(shù)不勝數(shù)。以下是用戶在執(zhí)行遠(yuǎn)程訪問時面臨的一些風(fēng)險：

• 允許的虛擬專用網(wǎng)絡(luò)。傳統(tǒng)上，VPN 僅由 IT 人員使用。這意味著與普通用戶相比，配置這些工具的訪問級別相對較高。不幸的是，當(dāng)這些普通用戶通過這些 VPN 獲得遠(yuǎn)程訪問權(quán)限時，這些配置甚至VPN的防火墻規(guī)則都基本保持不變。這為用戶提供了對超出其角色范圍的資源和系統(tǒng)的特權(quán)訪問。自然，如果威脅者以某種方式設(shè)法接管了用戶的 VPN 帳戶，那么該人也將獲得同樣的提升權(quán)限。
• 易受攻擊的遠(yuǎn)程設(shè)備。大多數(shù)用戶缺乏保護(hù)自己設(shè)備的意識和技能。如果他們使用的是公司管理的、基于辦公室的工作站，那就太好了。安全人員可以負(fù)責(zé)修補(bǔ)、加固和保護(hù)這些設(shè)備。但是，遠(yuǎn)程用戶通常用于工作的設(shè)備是 BYOD 設(shè)備（例如，他們的家用 PC 或個人筆記本電腦），它們不會接受這種處理，因此會面臨各種威脅，例如惡意軟件、未經(jīng)授權(quán)的訪問、被家庭成員濫用等
• 遠(yuǎn)程設(shè)備的可見性有限。為了讓網(wǎng)絡(luò)安全人員監(jiān)控用戶端點設(shè)備或?qū)ζ鋵嵤┛刂疲仨毠芾磉@些設(shè)備，即注冊到公司系統(tǒng)管理軟件、移動設(shè)備管理系統(tǒng)或任何類似的解決方案中。這為安全人員提供了他們需要的可見性。不幸的是，遠(yuǎn)程用戶的設(shè)備通常不受管理。因此，如果他們受到威脅，安全人員將無法知道或解決問題。
• 混合個人密碼和工作密碼。人們有這種重復(fù)使用密碼的傾向。這種做法使遠(yuǎn)程用戶極易受到撞庫攻擊，撞庫是一種攻擊媒介，用于通過輸入從以前的數(shù)據(jù)泄露或黑客事件中竊取的密碼來侵入用戶帳戶。這是因為，例如，威脅行為者可能會使用該用戶被盜的密碼登錄到合法用戶的 RDP 帳戶。純粹基于辦公室的用戶不會受到這些攻擊，因為威脅者必須在該用戶的辦公室 PC 前才能侵入該用戶的工作帳戶。
• 網(wǎng)絡(luò)釣魚攻擊的條件更容易。即使用戶在辦公室工作，也可能發(fā)生網(wǎng)絡(luò)釣魚攻擊。但至少在那里，通常有多層安全性。其中一個——URL 過濾解決方案、網(wǎng)絡(luò)安全平臺，甚至是安全運營中心 (SOC) 團(tuán)隊——總是很有可能阻止網(wǎng)絡(luò)釣魚攻擊。在家里或咖啡店，用戶不受相同級別的保護(hù)。

盡管進(jìn)行遠(yuǎn)程訪問存在風(fēng)險，但遠(yuǎn)程工作仍然存在。因此，組織采用安全控制措施以確保這些遠(yuǎn)程訪問會話不會使其數(shù)字資產(chǎn)受到損害非常重要。

保護(hù)遠(yuǎn)程訪問的安全技術(shù)

與網(wǎng)絡(luò)安全的其他領(lǐng)域一樣，保護(hù)遠(yuǎn)程訪問沒有靈丹妙藥。相反，有效的遠(yuǎn)程訪問安全策略應(yīng)該涉及多層保護(hù)。您可以使用的一些控件如下：

• 虛擬專用網(wǎng)。雖然虛擬專用網(wǎng)絡(luò)或 VPN 并不完美，并且從用戶體驗 (UX) 的角度來看可能存在問題，但許多組織已經(jīng)擁有它們。這是因為它們長期以來一直是 IT 團(tuán)隊進(jìn)行遠(yuǎn)程訪問的首選工具。因此，如果您的組織已經(jīng)安裝了 VPN，那么建立遠(yuǎn)程訪問安全性將是一個快速的勝利。VPN 使用隧道和/或加密技術(shù)來保護(hù)連接，當(dāng)用戶在公共 Wi-Fi 等不安全的網(wǎng)絡(luò)上時可以派上用場。
• 零信任網(wǎng)絡(luò)訪問 (ZTNA)。ZTNA是保護(hù)遠(yuǎn)程訪問安全的更高級選項之一，它是一組控件，可根據(jù)特定上下文（例如，用戶身份、客戶端設(shè)備安全性、用戶位置等）限制對資源的遠(yuǎn)程訪問。每當(dāng)授予訪問權(quán)限時，它都受最小特權(quán)原則的約束，其中訪問權(quán)限僅限于完成特定任務(wù)或執(zhí)行特定角色所需的資源（通常是應(yīng)用程序和/或數(shù)據(jù)）。
• 多因素身份驗證 (MFA)。強(qiáng)大、冗長的密碼旨在阻止暴力攻擊和其他傳統(tǒng)攻擊媒介。不幸的是，他們沒有機(jī)會抵御撞庫和社會工程等其他攻擊。為了保護(hù)您的遠(yuǎn)程用戶的帳戶免受惡意帳戶接管，您需要使用其他身份驗證因素來增加密碼，例如生物識別、SMS 或基于時間的一次性密碼 (OTP)、私鑰、令牌等。這將防止即使密碼被泄露，也可以進(jìn)行未經(jīng)授權(quán)的遠(yuǎn)程訪問。
• 特權(quán)訪問管理 (PAM)。由于其角色和職責(zé)的性質(zhì)，特權(quán)帳戶（例如分配給系統(tǒng)管理員、超級用戶等的帳戶）通常對系統(tǒng)、應(yīng)用程序和數(shù)據(jù)具有更大的訪問權(quán)限。因此，由于特權(quán)帳戶受損可能會產(chǎn)生嚴(yán)重后果，因此使用 PAM 很重要，尤其是在特權(quán)帳戶執(zhí)行遠(yuǎn)程訪問并因此暴露于我們前面討論的威脅的情況下。PAM 是一組用于管理、監(jiān)視和控制特權(quán)帳戶的控件，它可以確保在帳戶遭到入侵時，不良行為者不會造成重大損害。

遠(yuǎn)程訪問安全優(yōu)勢

正確實施的遠(yuǎn)程訪問安全策略可以大大增強(qiáng)您組織的安全狀況。這樣的策略可以提供幫助，因為它：

• 從任何設(shè)備和位置提供高度安全的訪問。遠(yuǎn)程訪問安全性使用戶可以在任何設(shè)備和位置自由工作，而不會將公司應(yīng)用程序和數(shù)據(jù)置于危險之中。
• 保證安全的互聯(lián)網(wǎng)瀏覽。遠(yuǎn)程用戶實際上生活在互聯(lián)網(wǎng)上。因此，重要的是要確保他們在那里執(zhí)行的活動，無論是與工作相關(guān)的還是其他方面的，都不會使您的數(shù)字資產(chǎn)面臨風(fēng)險。遠(yuǎn)程訪問安全控制可以在這方面提供幫助。
• 屏蔽端點。一些遠(yuǎn)程訪問安全工具是更全面的安全解決方案的一部分，該解決方案還可以保護(hù)端點本身。雖然這些工具可能有點侵入性，因為它們通常需要在端點設(shè)備上安裝代理軟件，但它們甚至可以為 BYOD 設(shè)備提供保護(hù)。
• 提高安全意識。完整的遠(yuǎn)程訪問安全策略應(yīng)包括用戶教育。這使用戶能夠認(rèn)識到遵守安全訪問策略的重要性。