问在连接受BYOD感染的计算机时，是什么使VPN对组织安全？

EN

真正的VPN将网络级别的设备连接到公司的网络中。敏感数据将在本地系统上处理，类似于公司内部的桌面。除非有额外的保护措施，否则这种设置使得攻击者的横向移动与其他公司网络中的横向移动一样容易。鉴于BYOD设备通常会花费大量时间在(某种程度上)保护良好的公司网络之外，这从本质上意味着，从攻击者的角度来看，这种设置应该是一个很好的想法，因此从公司的角度来看应该是一个非常糟糕的想法。

为了提高安全性和降低风险，可以做一些改进。一种方法是在VPN和其他公司网络之间增加一个限制性防火墙和一个入侵检测/预防系统，希望防火墙能够阻止某种移动，而IDS/IPS则是其余的。对网络活动进行详细的日志记录，至少可以在稍后发现攻击的原因--如果有人有时间和知识来挖掘所有这些日志。尽管如此，将不应该被信任的设备连接到敏感网络听起来并不是一个好主意，即风险仍然应该被认为是很高的。

在大多数情况下，一个更好的选择可能是根本不使用“真实的”VPN。相反，可以使用一些远程桌面软件，其中所有的活动都运行在公司内部的某个系统上，而本地系统本质上只是一个简单的监视器，它显示远程发生了什么，键盘和鼠标提供了有限的交互。这样，所有的数据都会在公司保护良好的系统上进行处理，而敏感数据不会离开公司网络。BYOD设备上的类似恶意软件不能简单地进入公司网络，因为进入该网络的唯一途径是键盘和鼠标活动。这种设置仍然存在相当大的风险，因为攻击者可能访问远程桌面凭据，从而将自己连接到公司网络。但与直接VPN连接相比，它的风险更小，使用双因素身份验证可以进一步降低风险(但不能完全消除它)。

另一种方法是不通过VPN将任意设备连接到公司网络，而是只连接受信任和公司管理的设备，即不连接BYOD。当然，需要保证这些设备不会被攻击者修改。但是，即使这些设备不在公司内部，也有办法保护它们的完整性，例如，将安全启动、加密磁盘和基于硬件的认证(个性化智能卡或类似的)结合在一起。