如今，许多大规模的数据泄露事件都与属于远程工作人员，第三方和外包IT承包商的凭据泄露有关。尽管远程办公和外包服务已在商业和公共部门中变得司空见惯，但在建立支持这些新业务模型的安全实践方面，组织仍然有工作要做。

一个最近的警报被调查的联邦调查局（FBI）和国土安全部的（DHS）说明了网络的对手已经确定远程访问的弱点可以被利用。FBI看到，利用远程访问方法（例如，远程桌面协议（RDP））获得未经授权的帐户访问权并随后泄露敏感数据的网络攻击已大大增加。在这种趋势下，组织在支持敏捷业务模型的同时又可以采取哪些措施来限制其遭受此类攻击的可能性？

在过去的十年中，远程工作和外包服务改变了业务格局。根据Global Workplace Analytics的数据，自2005年以来，远程工作者的数量增长了140％，而现在有70％的专业人员每周至少一天进行远程工作。同时，将IT外包的组织比例是五年来最高的，这主要是受成本节省，对核心业务运营的关注以及内部资源限制的推动。

为了使远程工作人员，IT外包商和合作伙伴能够安全地访问公司资源，组织一直以来都依赖于虚拟专用网（VPN）。但是，VPN的问题在于，一旦进入VPN，用户就可以访问整个网络。这带来了很大的风险。另外，VPN在操作上可能很复杂并且维护成本很高。它们也给用户带来不便，需要一系列手动，耗时的步骤来输入凭据并发起会话。云，BYOD和虚拟化技术的出现扩大了已经难以保护的攻击面。

建立VPN连接需要使用用户名和密码进行身份验证，但攻击者可以破坏这些连接并将恶意软件注入到远程系统中。通过入侵远程访问会话，恶意参与者可以破坏身份，窃取登录凭据并泄露其他敏感信息。为了最大程度地减少与远程访问威胁相关的风险，组织应实施以下四种措施来增强其安全状况：

•建立访问区域- 与网络分段一样，组织可以建立所谓的访问区域。这些是属性和安全策略的集合，这些属性和安全策略定义了一组用户共享的身份，访问权限和特权。例如，组织可以为其外包的IT承包商定义一个访问区域，该访问区域定义了他们工作所需访问的特定资源，并阻止对任何其他基础结构资源的访问。

• Grant Access to Specific Resources, Not the Network - Unlike a VPN that gives users visibility into the entire network, privileged access management solutions can be used to limit access to assets on a per-resource basis. These proxy-based technologies give an organization’s privileged internal IT admins access to as much of infrastructure as necessary, while limiting access by an outsourced team or remote workers to only the servers and network hardware their role requires. In combination with Access Zones, this security practice significantly reduces the risk of lateral attacks.

•授予最低特权- 考虑到特权访问滥用的比例很高，使用零信任安全性方法限制访问和特权至关重要。这需要通过访问区域建立精细的，基于角色的访问控制，以限制横向移动以及对应用程序和基础结构的足够及时的特权。例如，如果外包IT提供商签订了维护Oracle数据库的合同，则他们的访问权限可能仅限于该单一资源。为了获得更高的安全性，可以将控件放置在允许它们执行的命令范围内。如果需要其他特权，可以通过工作流程票证请求这些特权。票证的批准将授予立即但临时的特权，以便在数据库上运行其他命令。

•使用基于风险的多因素身份验证- 为了进一步增强安全性，组织应结合基于风险和角色的访问控制，用户上下文和多因素身份验证（MFA）。这种方法可实现智能，自动化和实时的决策，以便在远程访问服务器，密码检出或使用共享帐户登录远程系统时，向访问服务器的用户授予特权访问权限。

通过实施这些措施，组织可以限制其暴露于基于远程访问的网络威胁，同时支持诸如远程工作和外包IT之类的敏捷业务模型。解决这些安全挑战对于支持数字化转型计划同时保护公司资产至关重要。