Privileged Remote Access
當企業轉型成遠端辦公,Privileged Remote Access (PRA) 將可提供更安全的遠端存取管道
◆ IT人員因遠距辦公需求,為了一時方便或預算因素而選用免費的遠端存取工具或透過VPN 連線回公司存取系統資源,
但也可能為駭客開啟一條直通企業內部的大道。
◆ VPN 的連線視同內網的延伸,而現在居家工作使用VPN,時間變長、用戶變多、流量變高的新常態,
使得VPN 的風險也隨之放大,駭客集團盯上居家使用的弱點,各種對VPN 的攻擊、竊密、破解紛紛出籠,使得VPN 成為重大破口。
存取權限控管
提供帳號密碼代登入
符合稽核與合規性
以下為公司使用VPN 連線應需防範的風險
這情況下端點上的防護、更新、盜版軟體、惡意程式、使用成員...等等是公司IT 無法掌控風險的部分,員工使用這些端點連線VPN 進入內網辦公,有如木馬屠城般精彩。
在家辦公,主管不在身邊,順便上個論壇看看影片、又或是常常出現抽中iPhone 15,只要員工繼續填寫個人資料領獎,這條大魚就上鉤了。
當員工透過VPN存取公司內部資源時,可存取的範圍相當為一整個網段,一旦駭客破解其一員工電腦,甚至破解高階員工之特權帳號用戶,等於取得一把通往公司內部系統的金鑰,將可更自由瀏覽、竊取資料或是植入病毒。
供應商持有公司VPN帳號的人不知道換了幾手、登入也使用萬年密碼流通著,甚至廠商都終止合作了帳號還開著,廠商的連線時間與行為也無人知曉,缺乏事後稽核與申請流程管控的機制。
基於以上風險,PRA 提供的解決方案有...
1. 透過Port 443瀏覽網頁方式,將被存取端的畫面投射至畫面上,
居家辦公的員工將可避免直接與公司內部網段透通的風險。
2. 內建提供Session Recording 功能,
可監控存取活動(含操作稽核錄影、使用人員、連線時間、操作紀錄文檔等)。
3. 內建提供二次驗證功能(2FA),
可強制啟用並綁定手機一人一帳號,用OTP每分鐘都變換密碼的特性增加防護。
4. 可限制存取範圍做分區管控並設定告警,
當使用者透過PRA連線時將提示管理員,並限制特定帳號只可登入允許之主機。
5. 提供帳號密碼代登入功能,
讓員工的密碼不必使用紙本紀錄,也可避免供應商或外部廠商人員間的密碼交換。
保護、管理和稽核企業供應商、管理者及人員一個安全的遠端連線存取環境
- 透過為使用者提供正確的存取級別來強制實施最少權限(Least-Privilege)原則。
- 使用 RDP、VNC、HTTP/S 和 SSH 連接的標準協定來控制和監視遠端連線作業階段。
- 透過將特權帳戶的跟蹤、審批和審核整合到單一平台並建立單一存取路徑來減少受攻擊層面。
- 隨時隨地使用行動應用APP或透過 Web 的主控台來存取。
- 通過即時與詳細的連線作業階段的資料或發佈審核、創建審計跟蹤、會話取證和其他報告功能,以證明合規性。
- 將特權帳號遠端連線作業標準化為更安全、更完整的解決方案,控制對任何環境中、任何平臺的存取,並減少手動簽入和簽出憑據相關的低效率工作方式。