了解为什么远程访问安全对企业至关重要

在过去两年中，COVID-19 大流行导致远程工作的采用率急剧增加，而且这种工作方式似乎将继续存在。Owl Labs 进行的一项调查显示，如果在 COVID-19 之后能够在家工作 (WFH) ， 77% 的受访者会更快乐。同一项调查还显示，75% 的人在 WFH 设置中的生产力水平相同或更高。

虽然远程工作确实对员工和雇主都有好处，但它也带来了一系列全新的风险。其中许多风险在远程访问期间存在。如果企业可以建立安全的远程访问，远程工作就可以像员工在现场工作一样安全。在以下部分中，我们将详细说明远程访问安全问题以及如何解决这些问题。

了解安全远程访问及其为何如此重要

在我们定义什么是安全远程访问之前，我们需要先定义远程访问。远程访问是从与这些资产所在的地理位置不同的位置访问应用程序和文件等数字资产的能力。

例如，当您登录服务器并下载文件时，当您使用云应用程序时，或者当您通过远程桌面协议 (RDP) 或虚拟桌面基础架构 (VDI) 客户端连接到虚拟桌面并与文件交互时通过它，您正在执行远程访问。

因此，基本上，安全远程访问是相同的能力，但受安全流程的保护。例如，当用户请求访问您的公司服务器时，您可以首先通过询问用户名和密码来验证该用户的身份。然后，一旦该用户登录，您可以限制对与该用户角色关联的文件和文件夹的访问。

安全的远程访问很重要，因为：

• 您需要保护您的数字资产免受未经授权和恶意的个人的侵害。
• 大多数用户在执行远程访问时不应用甚至可能无法应用安全措施。
• 非公司管理的设备，例如用户拥有的自带设备 (BYOD) 设备，通常不具备与公司 IT 或网络安全团队管理的设备相同的安全级别。
• 一些远程访问协议本身并不安全。例如，其中一些不支持动态数据加密。
• 网络犯罪分子利用远程访问环境的漏洞来窃取个人数据、财务数据、商业机密和其他有价值的信息。
• 支付卡行业数据安全标准 (PCI DSS)、欧盟通用数据保护条例 (GDPR) 和美国健康保险流通与责任法案 (HIPAA) 等法律法规对此均有要求。

解决 6 远程访问安全问题

当用户执行远程访问时，有几个与安全相关的问题。让我们回顾一下六个主要问题并讨论如何解决它们。

1.远程访问策略不足

许多公司使用虚拟专用网络或 VPN 为员工提供安全的远程访问。VPN 使用加密来保护通过 Internet 传输的数据。这很好。但是，如果不采取措施限制用户仅访问完成该用户个人任务所需的公司资源，那么如果该帐户落入坏人之手，该 VPN 提供的安全性可能会变得毫无用处。

为了防止碰巧闯入合法用户帐户（或恶意内部人员）的黑客在公司网络中横向移动并访问其他公司资源，企业应将最小权限原则纳入其远程访问策略。这可确保用户只能访问完成该用户任务所需的资源，而不能访问其他任何资源。

那不是全部。您的安全远程访问策略还应包含有关哪些设备用于访问的规定（例如，您可能会限制对公司管理设备的访问）、可以下载哪些公司文件、可以在受管设备上使用哪些应用程序、联系谁当用户怀疑恶意活动等时。

2. 需要保护的新设备激增

当公司最终决定采用 WFH 策略来防止员工感染 COVID-19 病毒时，一些公司为这些员工购买了笔记本电脑。其他人采用 BYOD 策略，允许员工使用自己的个人设备完成与工作相关的任务。无论公司采取哪种方式，这意味着需要保护更多设备——这是一个额外的负担，因为 IT 团队已经在与常见的和与流行病相关的 IT 问题作斗争。

为了减少 IT 团队的工作量，您应该考虑采用简化端点设备管理（无论是安全相关还是其他方面）的解决方案。允许您从中心位置应用端点安全性的解决方案可能会有很大帮助。

3. 缺乏对远程用户活动威胁的了解

由于员工在 WFH 设置中使用的设备的可见性较低，尤其是在非托管设备的情况下，IT 团队对这些设备存在的漏洞和所面临的威胁的了解非常有限（如果有的话）。因此，他们几乎无能为力来充分保护它们。

同样，如上一节所述，采用可简化端点安全性的解决方案将大有帮助。一个例子是 VDI。在 VDI 环境中，文件和应用程序托管在一个中央位置，与传统的非 VDI 设置相比，无需在每个单独的设备上进行大量监控。稍后我们将对此进行详细说明。

4. 使用相同的个人和企业密码

强密码在阻止黑客试图通过“猜测”密码来侵入用户帐户的暴力类型攻击方面非常出色。但是，还有另一种类型的攻击是强密码无法阻止的。它被称为凭证填充，一种利用重复使用密码的常见弊端的帐户接管 (ATO) 攻击。有些人甚至为个人和企业帐户重复使用相同的密码。

重复使用密码的问题在于，如果您的一个帐户（例如，您的 Facebook 帐户）在数据泄露中遭到破坏，那么网络犯罪分子可以使用该帐户的密码来访问您的其他帐户，从而进行撞库攻击。因此，您的密码策略不仅应该要求强密码，而且还应该禁止用户重复使用密码。

5. 网络钓鱼攻击

网络犯罪分子用来窃取登录凭据（以及其他个人信息）的攻击媒介之一是网络钓鱼。由于网络钓鱼攻击通常以恐惧为食，因此以 COVID-19 为主题的网络钓鱼攻击在整个大流行期间一直在激增。

现在，需要明确的是，您的用户可能会成为网络钓鱼攻击的目标，无论他们是在家工作还是在办公室工作。然而，连接到企业网络并位于企业防火墙后面的设备的优势在于，它们可以受到安全解决方案和安全团队的监控和保护，他们可以检测和阻止可疑电子邮件。用户拥有的设备可能没有同样的保护。

为了降低网络钓鱼的风险，您可以培训用户识别潜在的网络钓鱼电子邮件，并避免在可疑电子邮件中包含链接和附件时单击它们。如果可能，您还可以在他们的端点设备上安装电子邮件安全软件。

6. 开放 Wi-Fi 网络

到目前为止，我们一直只关注用户直接与之交互的端点设备的安全性，例如 PC、笔记本电脑、手机、平板电脑等。它们并不是唯一需要保护的设备。Wi-Fi 路由器（这些设备在连接到网络上的服务器之前很可能会连接到这些路由器）也必须受到保护。

如果这些路由器仍在使用其默认出厂密码，并且没有使用 WPA（Wi-Fi 保护访问）等安全功能，则它们很容易受到攻击。一旦攻击者以某种方式控制了您的 Wi-Fi 路由器，该攻击者将能够拦截您的网络流量并获取通过它的敏感信息，例如您的用户名和密码。

您可以通过更改默认出厂密码（这很重要，因为出厂密码经常在黑客论坛中共享）和启用 WPA、WPA2 或 WPA3 来降低开放 Wi-Fi 网络的风险。如果您的路由器还不支持更高版本的 WPA，我们建议您用支持的路由器替换该路由器。

使用远程访问安全的最佳实践

尽管我们已经在上一节中提出了解决远程访问安全问题的建议，但在这方面肯定还有更多可以做的事情。以下是您也可以应用的一些最佳实践。

多重身份验证

基于密码的身份验证长期以来一直是最终用户的首选身份验证方法。不幸的是，它也是针对性最强的。这就是为什么会出现暴力破解和凭证填充等攻击的原因。网络犯罪分子一直在寻找破解或规避使用此类身份验证的登录界面的方法。

为了加强您的身份验证过程，您可以使用第二种身份验证来增强基于密码的身份验证，最好是使用不同因素的身份验证。基本上，密码认证是基于只有用户知道的东西。这是身份验证的一个因素。其他认证因素可以基于用户拥有什么（例如，私钥或令牌）或用户是什么（例如，指纹扫描或面部识别扫描）。

因此，即使黑客设法获取了用户的密码，如果登录需要其他身份验证因素（例如，发送到该用户电话的 SMS 消息），该黑客也无法接管该用户的帐户。通过使用两个或多个身份验证因素，您可以使攻击者更难侵入您的用户帐户。

SSL/TLS 和其他形式的动态数据加密

无论您的端点设备或登录过程多么安全，如果您的数据通过的网络连接不安全，您的帐户仍然可能受到威胁。窃听不安全网络连接的黑客可以获取用户的登录凭据，然后使用这些凭据登录该用户的帐户。

这可以通过采用动态数据加密技术（如安全套接字层 (SSL) 或传输层安全性 (TLS)）来防止。确保您的 RDP 客户端或 VDI 客户端也使用动态数据加密。

更多安全教育

安全教育或安全意识培训的重要性怎么强调都不为过。人是网络安全链中最薄弱的环节。即使您拥有强大的安全解决方案和策略，如果您的用户没有正确使用这些解决方案并且正在规避您的策略，那么您的防御将完全无用。

花时间教育和再教育你的用户。通过让他们充分了解不安全做法的后果并培训他们如何识别威胁和利用您的安全解决方案，您不仅可以显着提高您的远程访问安全性，还可以大大提高您的整体安全性。

对现有系统应用安全审计检查

一旦您实施了安全解决方案、策略和意识培训，就不要止步于此。安全不应局限于某个时间点。它应该经常维护。确保您保持可接受的安全级别的一种方法是定期进行安全审计检查。这个想法是验证您的安全程序的所有元素是否始终按应有的方式运行。

以下是您可以执行的一些测试，以检查您的远程访问安全性是否符合标准：

• 查看周围是否有任何陈旧/未使用的用户帐户。几个月或几年未使用的帐户通常是黑客的目标。如果有，请删除或禁用它们。
• 查看所有现有帐户的访问权限。您要确保他们遵守您的最低权限政策。
• 扫描您的系统以查找未使用或非法的服务。关闭它们。
• 围绕敏感数据审核用户活动。确保一切正常。