在過去兩年中，COVID-19 大流行導致遠程工作的采用率急劇增加，而且這種工作方式似乎將繼續(xù)存在。Owl Labs 進行的一項調查顯示，如果在 COVID-19 之后能夠在家工作 (WFH) ，?77% 的受訪者會更快樂。同一項調查還顯示，75% 的人在 WFH 設置中的生產力水平相同或更高。

雖然遠程工作確實對員工和雇主都有好處，但它也帶來了一系列全新的風險。其中許多風險在遠程訪問期間存在。如果企業(yè)可以建立安全的遠程訪問，遠程工作就可以像員工在現場工作一樣安全。在以下部分中，我們將詳細說明遠程訪問安全問題以及如何解決這些問題。

了解安全遠程訪問及其為何如此重要

在我們定義什么是安全遠程訪問之前，我們需要先定義遠程訪問。遠程訪問是從與這些資產所在的地理位置不同的位置訪問應用程序和文件等數字資產的能力。

例如，當您登錄服務器并下載文件時，當您使用云應用程序時，或者當您通過遠程桌面協(xié)議 (RDP) 或虛擬桌面基礎架構 (VDI) 客戶端連接到虛擬桌面并與文件交互時通過它，您正在執(zhí)行遠程訪問。

因此，基本上，安全遠程訪問是相同的能力，但受安全流程的保護。例如，當用戶請求訪問您的公司服務器時，您可以首先通過詢問用戶名和密碼來驗證該用戶的身份。然后，一旦該用戶登錄，您可以限制對與該用戶角色關聯的文件和文件夾的訪問。

安全的遠程訪問很重要，因為：

• 您需要保護您的數字資產免受未經授權和惡意的個人的侵害。
• 大多數用戶在執(zhí)行遠程訪問時不應用甚至可能無法應用安全措施。
• 非公司管理的設備，例如用戶擁有的自帶設備 (BYOD) 設備，通常不具備與公司 IT 或網絡安全團隊管理的設備相同的安全級別。
• 一些遠程訪問協(xié)議本身并不安全。例如，其中一些不支持動態(tài)數據加密。
• 網絡犯罪分子利用遠程訪問環(huán)境的漏洞來竊取個人數據、財務數據、商業(yè)機密和其他有價值的信息。
• 支付卡行業(yè)數據安全標準 (PCI DSS)、歐盟通用數據保護條例 (GDPR) 和美國健康保險流通與責任法案 (HIPAA) 等法律法規(guī)對此均有要求。

解決 6 遠程訪問安全問題

當用戶執(zhí)行遠程訪問時，有幾個與安全相關的問題。讓我們回顧一下六個主要問題并討論如何解決它們。

1.遠程訪問策略不足

許多公司使用虛擬專用網絡或 VPN 為員工提供安全的遠程訪問。VPN 使用加密來保護通過 Internet 傳輸的數據。這很好。但是，如果不采取措施限制用戶僅訪問完成該用戶個人任務所需的公司資源，那么如果該帳戶落入壞人之手，該 VPN 提供的安全性可能會變得毫無用處。

為了防止碰巧闖入合法用戶帳戶（或惡意內部人員）的黑客在公司網絡中橫向移動并訪問其他公司資源，企業(yè)應將最小權限原則納入其遠程訪問策略。這可確保用戶只能訪問完成該用戶任務所需的資源，而不能訪問其他任何資源。

那不是全部。您的安全遠程訪問策略還應包含有關哪些設備用于訪問的規(guī)定（例如，您可能會限制對公司管理設備的訪問）、可以下載哪些公司文件、可以在受管設備上使用哪些應用程序、聯系誰當用戶懷疑惡意活動等時。

2. 需要保護的新設備激增

當公司最終決定采用 WFH 策略來防止員工感染 COVID-19 病毒時，一些公司為這些員工購買了筆記本電腦。其他人采用 BYOD 策略，允許員工使用自己的個人設備完成與工作相關的任務。無論公司采取哪種方式，這意味著需要保護更多設備——這是一個額外的負擔，因為 IT 團隊已經在與常見的和與流行病相關的 IT 問題作斗爭。

為了減少 IT 團隊的工作量，您應該考慮采用簡化端點設備管理（無論是安全相關還是其他方面）的解決方案。允許您從中心位置應用端點安全性的解決方案可能會有很大幫助。

3. 缺乏對遠程用戶活動威脅的了解

由于員工在 WFH 設置中使用的設備的可見性較低，尤其是在非托管設備的情況下，IT 團隊對這些設備存在的漏洞和所面臨的威脅的了解非常有限（如果有的話）。因此，他們幾乎無能為力來充分保護它們。

同樣，如上一節(jié)所述，采用可簡化端點安全性的解決方案將大有幫助。一個例子是 VDI。在 VDI 環(huán)境中，文件和應用程序托管在一個中央位置，與傳統(tǒng)的非 VDI 設置相比，無需在每個單獨的設備上進行大量監(jiān)控。稍后我們將對此進行詳細說明。

4. 使用相同的個人和企業(yè)密碼

強密碼在阻止黑客試圖通過“猜測”密碼來侵入用戶帳戶的暴力類型攻擊方面非常出色。但是，還有另一種類型的攻擊是強密碼無法阻止的。它被稱為憑證填充，一種利用重復使用密碼的常見弊端的帳戶接管 (ATO) 攻擊。有些人甚至為個人和企業(yè)帳戶重復使用相同的密碼。

重復使用密碼的問題在于，如果您的一個帳戶（例如，您的 Facebook 帳戶）在數據泄露中遭到破壞，那么網絡犯罪分子可以使用該帳戶的密碼來訪問您的其他帳戶，從而進行撞庫攻擊。因此，您的密碼策略不僅應該要求強密碼，而且還應該禁止用戶重復使用密碼。

5. 網絡釣魚攻擊

網絡犯罪分子用來竊取登錄憑據（以及其他個人信息）的攻擊媒介之一是網絡釣魚。由于網絡釣魚攻擊通常以恐懼為食，因此以 COVID-19 為主題的網絡釣魚攻擊在整個大流行期間一直在激增。

現在，需要明確的是，您的用戶可能會成為網絡釣魚攻擊的目標，無論他們是在家工作還是在辦公室工作。然而，連接到企業(yè)網絡并位于企業(yè)防火墻后面的設備的優(yōu)勢在于，它們可以受到安全解決方案和安全團隊的監(jiān)控和保護，他們可以檢測和阻止可疑電子郵件。用戶擁有的設備可能沒有同樣的保護。

為了降低網絡釣魚的風險，您可以培訓用戶識別潛在的網絡釣魚電子郵件，并避免在可疑電子郵件中包含鏈接和附件時單擊它們。如果可能，您還可以在他們的端點設備上安裝電子郵件安全軟件。

6. 開放 Wi-Fi 網絡

到目前為止，我們一直只關注用戶直接與之交互的端點設備的安全性，例如 PC、筆記本電腦、手機、平板電腦等。它們并不是唯一需要保護的設備。Wi-Fi 路由器（這些設備在連接到網絡上的服務器之前很可能會連接到這些路由器）也必須受到保護。

如果這些路由器仍在使用其默認出廠密碼，并且沒有使用 WPA（Wi-Fi 保護訪問）等安全功能，則它們很容易受到攻擊。一旦攻擊者以某種方式控制了您的 Wi-Fi 路由器，該攻擊者將能夠攔截您的網絡流量并獲取通過它的敏感信息，例如您的用戶名和密碼。

您可以通過更改默認出廠密碼（這很重要，因為出廠密碼經常在黑客論壇中共享）和啟用 WPA、WPA2 或 WPA3 來降低開放 Wi-Fi 網絡的風險。如果您的路由器還不支持更高版本的 WPA，我們建議您用支持的路由器替換該路由器。

使用遠程訪問安全的最佳實踐

盡管我們已經在上一節(jié)中提出了解決遠程訪問安全問題的建議，但在這方面肯定還有更多可以做的事情。以下是您也可以應用的一些最佳實踐。

多重身份驗證

基于密碼的身份驗證長期以來一直是最終用戶的首選身份驗證方法。不幸的是，它也是針對性最強的。這就是為什么會出現暴力破解和憑證填充等攻擊的原因。網絡犯罪分子一直在尋找破解或規(guī)避使用此類身份驗證的登錄界面的方法。

為了加強您的身份驗證過程，您可以使用第二種身份驗證來增強基于密碼的身份驗證，最好是使用不同因素的身份驗證。基本上，密碼認證是基于只有用戶知道的東西。這是身份驗證的一個因素。其他認證因素可以基于用戶擁有什么（例如，私鑰或令牌）或用戶是什么（例如，指紋掃描或面部識別掃描）。

因此，即使黑客設法獲取了用戶的密碼，如果登錄需要其他身份驗證因素（例如，發(fā)送到該用戶電話的 SMS 消息），該黑客也無法接管該用戶的帳戶。通過使用兩個或多個身份驗證因素，您可以使攻擊者更難侵入您的用戶帳戶。

SSL/TLS 和其他形式的動態(tài)數據加密

無論您的端點設備或登錄過程多么安全，如果您的數據通過的網絡連接不安全，您的帳戶仍然可能受到威脅。竊聽不安全網絡連接的黑客可以獲取用戶的登錄憑據，然后使用這些憑據登錄該用戶的帳戶。

這可以通過采用動態(tài)數據加密技術（如安全套接字層 (SSL) 或傳輸層安全性 (TLS)）來防止。確保您的 RDP 客戶端或 VDI 客戶端也使用動態(tài)數據加密。

更多安全教育

安全教育或安全意識培訓的重要性怎么強調都不為過。人是網絡安全鏈中最薄弱的環(huán)節(jié)。即使您擁有強大的安全解決方案和策略，如果您的用戶沒有正確使用這些解決方案并且正在規(guī)避您的策略，那么您的防御將完全無用。

花時間教育和再教育你的用戶。通過讓他們充分了解不安全做法的后果并培訓他們如何識別威脅和利用您的安全解決方案，您不僅可以顯著提高您的遠程訪問安全性，還可以大大提高您的整體安全性。

對現有系統(tǒng)應用安全審計檢查

一旦您實施了安全解決方案、策略和意識培訓，就不要止步于此。安全不應局限于某個時間點。它應該經常維護。確保您保持可接受的安全級別的一種方法是定期進行安全審計檢查。這個想法是驗證您的安全程序的所有元素是否始終按應有的方式運行。

以下是您可以執(zhí)行的一些測試，以檢查您的遠程訪問安全性是否符合標準：

• 查看周圍是否有任何陳舊/未使用的用戶帳戶。幾個月或幾年未使用的帳戶通常是黑客的目標。如果有，請刪除或禁用它們。
• 查看所有現有帳戶的訪問權限。您要確保他們遵守您的最低權限政策。
• 掃描您的系統(tǒng)以查找未使用或非法的服務。關閉它們。
• 圍繞敏感數據審核用戶活動。確保一切正常。