打破VDI安全神話:控制終端設(shè)備就控制了VDI資源
責(zé)編:gltian |2018-09-27 13:18:35很多CISO和安全人員都將虛擬桌面基礎(chǔ)設(shè)施(VDI)和其他遠(yuǎn)程應(yīng)用解決方案視為安全屏障。他們覺得VDI能將敏感資源與用戶設(shè)備隔離,讓黑客無法突破。然而,這是個危險的想法。事實上,VDI對網(wǎng)絡(luò)罪犯來說不過是小小一道坎而已。
VDI用例很多,可供雇員從瘦客戶端或個人筆記本電腦登錄服務(wù)器托管的桌面,可賦予第三方訪問企業(yè)資產(chǎn)的“受控制”權(quán)限,可供IT管理員和其他特權(quán)用戶將VDI服務(wù)器當(dāng)成“跳板主機(jī)”來管理企業(yè)重要資產(chǎn)。但無論你的VDI用例是什么,企業(yè)資產(chǎn)都會暴露出來。
- 瘦客戶端
用瘦客戶端連接Windows系統(tǒng)遠(yuǎn)程VDI桌面的雇員,并不比其他Windows筆記本用戶在安全上高明到哪兒去。該遠(yuǎn)程桌面依然暴露在一系列常見攻擊方法之下,包括電子郵件、Web、外部媒體、用戶安裝的應(yīng)用等等。
- 非托管雇員設(shè)備
很多公司都允許雇員用私人筆記本電腦等非托管設(shè)備連接企業(yè)VDI桌面。一旦這些終端用戶設(shè)備本就被黑了,情況可想而知。這種情況下,攻擊者首先獲取到用戶個人筆記本電腦的控制權(quán),然后冒充該用戶與遠(yuǎn)程VDI桌面交互。這種攻擊對技術(shù)要求不高,在用戶個人筆記本電腦上安裝上現(xiàn)成的商品化遠(yuǎn)程控制軟件,等待用戶通過身份認(rèn)證,然后以用戶的名義控制該VDI會話就行了。
有些人認(rèn)為,只要阻止用戶個人筆記本電腦和遠(yuǎn)程VDI桌面之間的剪貼板操作,就可以挫敗攻擊。這種想法太過天真。攻擊者完全可以通過模擬鍵盤敲擊隱秘而快速地將整個腳本發(fā)送過去,然后在遠(yuǎn)程VDI桌面上執(zhí)行該腳本。自此,取得VDI桌面完全控制權(quán)就很容易了。此類攻擊用不到任何零日漏洞,隨便一個有點想法和毅力的攻擊者都能做到。
- 第三方連接
使用VDI訪問公司資源的第三方供應(yīng)商和承包商,與使用非托管設(shè)備的員工對公司安全性的破壞程度是差不多的。如塔吉特數(shù)據(jù)泄露和Equifax數(shù)據(jù)泄露事件所揭示的,網(wǎng)絡(luò)罪犯只需感染一臺供應(yīng)商設(shè)備,就能通過VDI拉取無數(shù)敏感資源。雙因子身份驗證對VDI會話沒有太大幫助,因為已經(jīng)駐守在機(jī)器上的攻擊者僅僅是等待成功的身份驗證,然后發(fā)起攻擊。
- 特權(quán)用戶
一些企業(yè)允許IT管理員通過跳板主機(jī)或托管在VDI終端服務(wù)器上的跳板機(jī)登錄特權(quán)管理控制臺。跳板主機(jī)通常來講是種安全健康的操作,但如果用來訪問特權(quán)主機(jī)的設(shè)備是一臺被黑個人設(shè)備,情況就不妙了。更別說個人設(shè)備被黑的情況還是如此常見。惡意黑客會搜尋IT管理員,然后盯上他們。攻擊者一旦感染了IT管理員的個人設(shè)備,基本上也就能通過VDI控制整個企業(yè)網(wǎng)絡(luò)了。
VDI隔離問題
為什么VDI安全不行?根源在于:VDI并不是隔離解決方案。它不隔離遠(yuǎn)程敏感資源和用以訪問這些資源的設(shè)備。如果黑客控制了終端用戶設(shè)備,他們就控制了VDI資源。
任何沒有完全隔離的方法都是脆弱的。對敏感資源的本地訪問或遠(yuǎn)程訪問,永遠(yuǎn)不應(yīng)該與暴露給外部世界任何企業(yè)或個人用例相混雜。微軟等安全供應(yīng)商和SWIFT之類的金融機(jī)構(gòu)都在不厭其煩地重申這條指南,提出要使用單獨的操作系統(tǒng)實例來訪問敏感資源,包括在VDI上的那些。
現(xiàn)實中的隔離
那么,實際情況又如何呢?
一種基于虛擬機(jī)管理程序的新方法,是將終端用戶設(shè)備轉(zhuǎn)換為軟件定義終端——每臺終端都有多個隔離的虛擬機(jī)。該方法完全隔離了對敏感資源的訪問,又不限制用戶的自由或要求多臺電腦。
用戶所做的一切都在虛擬機(jī)中進(jìn)行,包括操作系統(tǒng)和所有應(yīng)用程序。一個操作系統(tǒng)供個人隨意使用,另一個用于訪問敏感資源,無論是本地訪問還是通過VDI訪問。控制了個人虛擬機(jī)的攻擊者無法看到或控制敏感信息訪問虛擬機(jī)。攻擊者必須攻破虛擬機(jī)才可以破壞系統(tǒng)安全。這么做既可以提供公司企業(yè)所需的防護(hù),又能賦予用戶其渴望的高生產(chǎn)力。
VDI本身最多能提供一種誤導(dǎo)性的虛假安全感,最壞情況甚至能給公司帶來滅頂之災(zāi)。企業(yè)必須意識到這種風(fēng)險,并采取適當(dāng)?shù)母綦x措施來保護(hù)自己。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧