【IT168 技术】随着移动员工的发展以及BYOD趋势扩展到企业，远程访问相关的威胁也进入了企业，新的攻击向量正在增加，对于远程工作人员而言，热点正变得越来越不安全。

　　在大多数企业，移动项目以及BYOD(携带自己设备到工作场所)的趋势正在呈指数增加，这给企业带来了几乎不可能防御的安全问题，移动办公使员工越来越多地依赖于机场、咖啡厅和公共场所的热点来连接企业网络以及相关的应用程序。

　　虽然移动提高了工作效率，它同时也有黑暗的一面，它创造了一个风险因素，并让企业资源处于威胁之中，或者至少导致数据泄露问题日益严重，更重要的是，这些问题可能在用户毫不知情的情况下发生，用户成为了恶意活动的棋子。

　　缓解这些威胁已经成为IT安全管理人员的一大挑战，然而，也有一些简单的诀窍可以帮助缓解这些威胁，甚至低于更新的威胁，我们想要做的就是教育用户以及执行简单的政策。

　　公共热点都有一个共同点;它们都是容易受到攻击和安全泄露事故影响的开放网络;大多数公共热点没有加密数据，这让密码、电子邮件信息和其他信息可以被恶意拦截。最好的防御开始于良好的操作，在这种情况下，这意味着教育用户或者对设备创建自动化政策来防止拦截。

　　· 在默认情况下禁用Wi-Fi适配器：换句话说，只有在需要时才开启Wi-Fi，更改设备的默认设置为禁用Wi-Fi，要求用户在需要时才开启，这样用户就知道，至少知道他们正在积极使用Wi-Fi热点。

　　· 强制使用HTTPS：简单地说HTTPS(SSL)连接比开放HTTP连接更加安全，提供了额外的保护。要求只能通过HTTPS(或者VPN)访问企业资源，可以减少网络数据被拦截的可能性。

　　· 使用本地防火墙：很多操作系统具有软件防火墙而不是内置或提供现成的下载，在客户端设备安装防火墙，并且执行防病毒政策，可以防止恶意软件感染设备以及阻止数据拦截。

　　· 验证连接：很多公共热点有多个无线网络，并知道哪个连接可能更加安全，或者哪个可能暴露关键信息。幸运的是，一些操作系统植入了热点配置文件设置，这可以自动通知用户哪些无线网络可用，哪些可以连接。在最好的情况下，会自动提醒用户批准新的Wi-Fi连接，在获得批准后，可以指定配置文件来为以后使用。

　　· 使用VPN：也许这是废话，但很多企业仍然让一些应用程序使用非加密流量来缓解移动员工的困扰。然而，这种易用性可能要付出高昂的代价，数据可能被拦截，企业资源可能被泄露。这里简单的解决方案就是确保所有企业资源只能通过VPN连接远程访问。虽然这可能需要用户登录多次(首先登录到热点，然后进入VPN，再是应用程序)，VPN可以保护数据不被拦截，网络不被攻击。

　　双面恶魔攻击的崛起

　　双面恶魔(evil twin)热点是攻击者设置的Wi-Fi接入点，其目的是伪装成合法的热点，这种热点正在增加，并开始出现在企业环境，还有提供免费Wi-Fi接入的咖啡厅、零售店或者餐厅，这种热点模拟合法热点，很多用户没有意识到它们的存在，然而，这种热点有着险恶用心，窃取信息和拦截数据。

　　攻击者会构建双面恶魔热点让他们可以拦截网络流量以及插入到受害者及其目标服务器之间的数据对话。通过诱骗用户连接到非法热点，攻击者可以窃取账户名、密码，并重定向用户到恶意网站、钓鱼网站等。在用户连接到这种热点时，攻击者还可以查看下载或升级的文件内容。

　　用户并不知道他们连接到了双面恶魔热点，因为攻击者使用了合法接入点的SSID(网络名)，整个过程对于受害者是透明的，大多数时候，用户达到其目标互联网目的地，不知道有人正在秘密拦截网络流量和窃取信息，例如登录信息、信用卡号码和数据文件等。

　　总之，如果移动员工连接到双面恶魔热点，这对于只是移动办公的IT员工来说，绝对是最大的噩梦。遗憾的是，目前还没有很多方法来抵御这种攻击，有些人可能认为无线加密可以阻止这种类型的攻击，然而，Wi-Fi保护访问(WPA)等技术并不会加密用户数据，除非受害者网络设备和接入点之间已经建立了连接。

　　这制造了一个很大的难题，如果这种热点这么难以检测，IT管理人员如何允许使用公共热点以及保护信息安全?这一切都归结到用户身份验证以及添加额外的加密层。双因素身份验证和VPN可以帮助抵御双面恶魔热点攻击。此外，采用HTTPs连接也可以防止数据拦截。

　　在过去，双因素身份验证和VPN只适合大型企业，让大多数企业负担不起，而现在，很多在线(基于云的)服务已经进入市场，只需要每月几美元就可以使用VPN服务来帮助解决双面恶魔攻击问题。

　　简单地说，双因素身份验证和加密可以让Wi-Fi连接更加安全，无论用户在哪里或者从哪里访问企业用用程序。