遠(yuǎn)程控制如何安全通過(guò)護(hù)網(wǎng)攻防？用私有化部署可解

現(xiàn)在企業(yè)的很多業(yè)務(wù)場(chǎng)景下，遠(yuǎn)程控制已經(jīng)成為了剛需工具之一。但另一方面，遠(yuǎn)程控制軟件在很多安全合規(guī)敏感的業(yè)務(wù)場(chǎng)景下又是被“重點(diǎn)關(guān)照”的對(duì)象，尤其在護(hù)網(wǎng)攻防期間，一旦遠(yuǎn)程控制類(lèi)軟件因固定端口、特征進(jìn)程名稱(chēng)等被紅隊(duì)掃描工具識(shí)別掃出，一頓通報(bào)整改的壓力少不了，比如下面圖中的例子：

但是，遠(yuǎn)程控制軟件也不能直接禁用，一來(lái)是影響運(yùn)維效率，二來(lái)是很多企業(yè)已經(jīng)將遠(yuǎn)程控制深度融合到業(yè)務(wù)中，比如售后技術(shù)支持等部門(mén)，直接禁用可能會(huì)導(dǎo)致核心業(yè)務(wù)的停滯。

面對(duì)這種情況，企業(yè)應(yīng)該如何處理遠(yuǎn)程需求？如何搭建遠(yuǎn)控方案？面對(duì)業(yè)務(wù)剛需與安全合規(guī)的兩難，我們可以調(diào)整部署思路，通過(guò)向日葵SDK+私有化部署的嵌入式方案實(shí)現(xiàn)遠(yuǎn)程控制能力與合規(guī)要求的統(tǒng)一。

對(duì)于企業(yè)來(lái)說(shuō)，傳統(tǒng)遠(yuǎn)程控制方案的合規(guī)困境主要有下面兩個(gè)方面：

● 個(gè)人版軟件游離于企業(yè)管控體系之外，弱密碼風(fēng)險(xiǎn)極高。

● 標(biāo)準(zhǔn)SaaS企業(yè)版雖具備基礎(chǔ)安全管理能力，但標(biāo)準(zhǔn)化進(jìn)程名和固定端口，極易被掃描工具特征庫(kù)識(shí)別。

面對(duì)上述困境，貝銳向日葵私有化部署或者SDK方案其實(shí)都是很好的解題思路。

向日葵私有化部署模式下，遠(yuǎn)控系統(tǒng)的整體運(yùn)行形態(tài)更接近于企業(yè)自研遠(yuǎn)控應(yīng)用，既具備原生向日葵的遠(yuǎn)程控制能力，又能滿足安全部門(mén)對(duì)“遠(yuǎn)控進(jìn)程、特征端口”的識(shí)別規(guī)避要求，避免被識(shí)別為已知遠(yuǎn)控工具。

具體來(lái)說(shuō)，通過(guò)向日葵的私有化部署模式，企業(yè)可將向日葵遠(yuǎn)控系統(tǒng)部署至自有服務(wù)器，完全掌握所有數(shù)據(jù)鏈路與訪問(wèn)策略，并且向日葵私有化部署時(shí)還具備以下能力：

• 客戶端定制化能力：支持對(duì)向日葵客戶端軟件的名稱(chēng)、圖標(biāo)、進(jìn)程名稱(chēng)等關(guān)鍵標(biāo)識(shí)進(jìn)行自定義。這意味著，在操作系統(tǒng)層面，向日葵遠(yuǎn)控客戶端將不再暴露出其通用特征，無(wú)法被以“進(jìn)程特征”的方式進(jìn)行識(shí)別。
  

• 通信端口可配置：向日葵私有化方案允許企業(yè)根據(jù)內(nèi)網(wǎng)策略自定義遠(yuǎn)控通信所使用的端口。所設(shè)端口與官方公開(kāi)版使用端口不重合，從而規(guī)避了被安全設(shè)備基于端口號(hào)識(shí)別的風(fēng)險(xiǎn)。

另一方面，對(duì)于希望將遠(yuǎn)程控制能力深度融合進(jìn)自有業(yè)務(wù)系統(tǒng)的企業(yè)來(lái)說(shuō)，向日葵私有化部署的SDK集成方案可以提供更為靈活的方式。

同時(shí)，私有化部署的SDK方案天然具備更高的“抗識(shí)別”能力，尤其適用于對(duì)終端設(shè)備策略限制嚴(yán)格、或安全域分級(jí)復(fù)雜的場(chǎng)景，包括以下這些優(yōu)勢(shì)：

• SDK形式以API/組件包的方式嵌入原有系統(tǒng)，無(wú)需獨(dú)立安裝遠(yuǎn)控客戶端，遠(yuǎn)控鏈路被完全封裝在業(yè)務(wù)邏輯之中，完全不會(huì)在系統(tǒng)中暴露出明顯的遠(yuǎn)控軟件特征。
  

• 由于直接將遠(yuǎn)控能力進(jìn)行集成，因此沒(méi)有遠(yuǎn)程控制相關(guān)的獨(dú)立進(jìn)程或服務(wù)存在，傳統(tǒng)掃描工具（如EDR、端口掃描器、進(jìn)程監(jiān)控工具）幾乎無(wú)法以“遠(yuǎn)控軟件”的維度對(duì)其進(jìn)行識(shí)別。

上述兩種方案思路，我們都可以搭建一個(gè)和自身核心業(yè)務(wù)更加融合，不易被掃出的遠(yuǎn)程控制業(yè)務(wù)方案。

此外，貝銳向日葵全部的業(yè)務(wù)數(shù)據(jù)、通信數(shù)據(jù)都經(jīng)過(guò)RSA+AES算法混合加密，同時(shí)也支持支持國(guó)密SSL采用SM2+SM4的國(guó)密算法。且密鑰僅對(duì)單次會(huì)話有效，而且畫(huà)面、控制、認(rèn)證等數(shù)據(jù)分離傳輸，不會(huì)被集中攻陷。

對(duì)于被控端登入信息，向日葵采用本地存儲(chǔ)策略：密文只保存在被控本地，云端既不傳輸，也不存儲(chǔ)客戶端的任何登入信息，這意味著即使服務(wù)器被攻陷，亦無(wú)法通過(guò)服務(wù)器上的數(shù)據(jù)獲得終端的控制權(quán)。

除了上述這些，之前在調(diào)研企業(yè)遠(yuǎn)程控制方案時(shí)，發(fā)現(xiàn)向日葵的歷史也很長(zhǎng)了，已經(jīng)做了19年，差不多是國(guó)內(nèi)最早的自研遠(yuǎn)控方案，在遠(yuǎn)程連接這個(gè)領(lǐng)域積累了大量用戶，注冊(cè)用戶過(guò)億，企業(yè)客戶也有一百多萬(wàn)，設(shè)備接入量更是達(dá)到了20億臺(tái)。這些數(shù)字雖然不能代表全部實(shí)力，但至少說(shuō)明它在行業(yè)內(nèi)還是非常成熟、可靠的，在官網(wǎng)也能看到大量頭部企業(yè)的案例。

另外，還發(fā)現(xiàn)目前很多企業(yè)已經(jīng)在用向日葵SDK或者做了私有化部署，除了一些大廠也在用，也看到不少服務(wù)商，直接把向日葵的技術(shù)嵌入到了自己的業(yè)務(wù)系統(tǒng)里，用來(lái)做遠(yuǎn)程支持或者設(shè)備管理。

其實(shí)，作為一款專(zhuān)注遠(yuǎn)控多年的產(chǎn)品，向日葵在安全合規(guī)這塊做得還是挺到位的，尤其是在當(dāng)前政策和數(shù)據(jù)合規(guī)要求越來(lái)越嚴(yán)的背景下，確實(shí)是個(gè)值得考慮的選項(xiàng)。像信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證，這在國(guó)內(nèi)已經(jīng)算是比較高的安全標(biāo)準(zhǔn)了。

同時(shí)，也可以查到貝銳向日葵還通過(guò)了上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心的安全滲透測(cè)試，被評(píng)為“低風(fēng)險(xiǎn)系統(tǒng)”——這個(gè)評(píng)級(jí)在業(yè)內(nèi)算是比較硬的，尤其是在遠(yuǎn)控這種敏感應(yīng)用場(chǎng)景下。據(jù)說(shuō)目前業(yè)內(nèi)能做到這一點(diǎn)的遠(yuǎn)控產(chǎn)品并不多。

總的來(lái)說(shuō)，如果大家也在看企業(yè)遠(yuǎn)控方案，或者在思考怎么在合規(guī)前提下做遠(yuǎn)程支持，不妨考慮貝銳向日葵私有化+SDK方案。