橫向移動(dòng)技術(shù)是威脅行為者滲透并獲得網(wǎng)絡(luò)控制權(quán)的一種復(fù)雜且越來(lái)越普遍的方式。在本文中，我們將回顧什么是橫向移動(dòng)，它是如何工作的，以及如何防止攻擊。您還將了解橫向移動(dòng)路徑、如何識(shí)別它們，以及您可以采取哪些步驟來(lái)改善您的安全態(tài)勢(shì)以應(yīng)對(duì)橫向移動(dòng)技術(shù)。

什么是橫向運(yùn)動(dòng)？

那么什么是橫向運(yùn)動(dòng)，它是如何發(fā)生的呢？橫向移動(dòng)是指攻擊者獲得對(duì)網(wǎng)絡(luò)一部分的初始訪問(wèn)權(quán)限，然后嘗試更深入地進(jìn)入網(wǎng)絡(luò)的其余部分——通常通過(guò)遠(yuǎn)程桌面工具或遠(yuǎn)程管理工具 (RAT)。

穿透安全邊界被認(rèn)為是垂直移動(dòng)（從外向內(nèi)移動(dòng)）。但是一旦不良行為者在您的網(wǎng)絡(luò)中站穩(wěn)腳跟，他們就可以沿著所謂的橫向移動(dòng)路徑 (LMP) 水平地（即橫向地）穿過(guò)網(wǎng)絡(luò)的系統(tǒng)和機(jī)器。

橫向運(yùn)動(dòng)路徑 (LMP)

LMP 是攻擊者用來(lái)導(dǎo)航您的網(wǎng)絡(luò)并獲得對(duì)安全數(shù)據(jù)的額外訪問(wèn)權(quán)限的步驟。

攻擊者可以使用許多 LMP 來(lái)進(jìn)一步訪問(wèn)網(wǎng)絡(luò)。LMP 帶來(lái)的風(fēng)險(xiǎn)會(huì)隨著組織的發(fā)展而增長(zhǎng)。換句話說(shuō)，加入網(wǎng)絡(luò)的用戶越多，登錄的會(huì)話就越多（很容易被忽略），網(wǎng)絡(luò)層次結(jié)構(gòu)中引入的本地管理員權(quán)限也就越多。

一些最常見(jiàn)的攻擊方法（例如憑據(jù)盜竊和 Pass the Ticket 攻擊）涉及利用與敏感機(jī)器共享存儲(chǔ)的登錄憑據(jù)的非敏感機(jī)器。非敏感機(jī)器本質(zhì)上為攻擊者感興趣的高價(jià)值敏感數(shù)據(jù)提供了一座橋梁。事實(shí)上，研究估計(jì)85% 的違規(guī)行為涉及人為因素，相應(yīng)地，網(wǎng)絡(luò)釣魚(yú)和勒索軟件攻擊上升了 11%和 6%，以及獲取證書(shū)的虛假陳述增加了 15 倍。橫向移動(dòng)允許攻擊者保留訪問(wèn)權(quán)限并避免檢測(cè)，即使他們是在第一臺(tái)受感染的機(jī)器上發(fā)現(xiàn)的。

不良行為者如何駕馭 LMP

第 1 步：偵察

攻擊者在網(wǎng)絡(luò)中站穩(wěn)腳跟后，下一步就是進(jìn)行內(nèi)部偵察，以了解他們?cè)诰W(wǎng)絡(luò)中的位置以及結(jié)構(gòu)是什么樣的。在這個(gè)階段，攻擊者觀察和映射網(wǎng)絡(luò)，以及它的用戶和設(shè)備。有了這些信息，他們可以發(fā)現(xiàn)主機(jī)命名約定和層次結(jié)構(gòu)，識(shí)別操作系統(tǒng)和防火墻，并就下一步的發(fā)展做出戰(zhàn)略決策。

第 2 步：權(quán)限提升

要滲透并通過(guò)網(wǎng)絡(luò)移動(dòng)，攻擊者需要登錄憑據(jù)。然后，他們將使用這些憑據(jù)訪問(wèn)和破壞其他主機(jī)，從一個(gè)設(shè)備移動(dòng)到另一個(gè)設(shè)備，并一路升級(jí)他們的權(quán)限——最終獲得對(duì)其目標(biāo)的控制，例如域控制器、關(guān)鍵系統(tǒng)或敏感數(shù)據(jù)。竊取憑據(jù)稱為憑據(jù)轉(zhuǎn)儲(chǔ)。通常，攻擊者會(huì)使用網(wǎng)絡(luò)釣魚(yú)等社交工程策略來(lái)誘騙用戶分享他們的憑據(jù)。

第 3 步：擴(kuò)大訪問(wèn)權(quán)限

通過(guò)收集憑據(jù)，攻擊者可以冒充用戶并獲得對(duì)更多主機(jī)和服務(wù)器的合法訪問(wèn)權(quán)限。可以重復(fù)這些步驟，直到攻擊者獲得對(duì)其最終目標(biāo)的訪問(wèn)權(quán)并可以竊取數(shù)據(jù)或破壞關(guān)鍵系統(tǒng)。

橫向移動(dòng)使攻擊者能夠在網(wǎng)絡(luò)中保持持久性——即使安全團(tuán)隊(duì)發(fā)現(xiàn)了一臺(tái)受感染的設(shè)備，攻擊者也會(huì)將它們的存在擴(kuò)展到其他設(shè)備，從而使從網(wǎng)絡(luò)中根除它們變得更加困難。

這就是為什么安全團(tuán)隊(duì)了解和識(shí)別其網(wǎng)絡(luò)中潛在的 LMP 如此重要的原因。

橫向運(yùn)動(dòng)檢測(cè)

您已經(jīng)采取了安全措施來(lái)阻止不良行為者進(jìn)入您的網(wǎng)絡(luò)。但是如果他們?cè)竭^(guò)了你的外線防守會(huì)發(fā)生什么？如今，安全團(tuán)隊(duì)必須比以往更快地檢測(cè)和消除威脅。在過(guò)去一年中，平均突破時(shí)間（威脅參與者從最初訪問(wèn)到橫向移動(dòng)所需的時(shí)間）下降了 67%——超過(guò)三分之一的對(duì)手在不到 30 分鐘的時(shí)間內(nèi)突破。

一旦攻擊者獲得對(duì)您網(wǎng)絡(luò)的訪問(wèn)權(quán)并獲得有效憑據(jù)，就很難檢測(cè)到他們的移動(dòng)，因?yàn)樗赡芸雌饋?lái)是正常的網(wǎng)絡(luò)流量。為了檢測(cè)（并最終防止）橫向移動(dòng)，安全團(tuán)隊(duì)需要知道攻擊者如何在他們的系統(tǒng)中傳播并確定他們可以接觸到哪些關(guān)鍵資產(chǎn)。說(shuō)起來(lái)容易做起來(lái)難。有效檢測(cè)網(wǎng)絡(luò)中的橫向移動(dòng)通常需要結(jié)合多種方法，包括映射 LMP 并進(jìn)行實(shí)時(shí)監(jiān)控和調(diào)查。

映射 LMP

識(shí)別網(wǎng)絡(luò)中的潛在 LMP 讓您比潛在的攻擊者領(lǐng)先一步。這包括審查您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和組織層次結(jié)構(gòu)以發(fā)現(xiàn)弱點(diǎn)，即非敏感和敏感數(shù)據(jù)、設(shè)備或系統(tǒng)之間的連接。

例如，如果您在 CFO 的筆記本電腦上擁有一個(gè)或多個(gè)具有本地管理員權(quán)限的非敏感用戶，則表示存在易受攻擊的 LMP。一旦你繪制出這些潛在的路徑，你就可以采取措施來(lái)加強(qiáng)、隔離和保護(hù)這些聯(lián)系。

監(jiān)控和警報(bào)

由于橫向移動(dòng)涉及由人（而不是機(jī)器）操作的遠(yuǎn)程控制，因此可以對(duì)網(wǎng)絡(luò)流量分析工具進(jìn)行編程，以快速識(shí)別可疑行為，例如內(nèi)部偵察嘗試。

實(shí)施實(shí)時(shí)監(jiān)控以收集、規(guī)范化和關(guān)聯(lián)整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)，并提醒您可疑活動(dòng)。聚合警報(bào)將使您能夠觀察威脅的進(jìn)展和復(fù)合活動(dòng) - 幫助您更快地將實(shí)際威脅歸零。

調(diào)查和行為分析

除了監(jiān)控和識(shí)別 LMP 之外，還應(yīng)定期進(jìn)行行為分析，以調(diào)查和發(fā)現(xiàn)網(wǎng)絡(luò)中的任何異常活動(dòng)。用戶和實(shí)體行為分析 (UEBA) 使用機(jī)器學(xué)習(xí)來(lái)識(shí)別每個(gè)用戶的行為模式，定義基線（正常活動(dòng)），并確定任何偏離規(guī)范的活動(dòng)的重要性。了解這些模式偏差可以幫助您發(fā)現(xiàn)可疑活動(dòng)并提供支持進(jìn)一步調(diào)查所需的證據(jù)。

如何防止橫向運(yùn)動(dòng)和改善你的防守姿勢(shì)

減少檢測(cè)和響應(yīng)威脅所需的時(shí)間是限制橫向移動(dòng)攻擊的損害（和成本）的關(guān)鍵。通過(guò)采取以下步驟，增強(qiáng)您的安全態(tài)勢(shì)并防止在您的網(wǎng)絡(luò)中橫向移動(dòng)：

• 評(píng)估您的安全策略并確保它包括阻止入侵的預(yù)防性解決方案以及自動(dòng)識(shí)別威脅的檢測(cè)和響應(yīng)解決方案。
• 更新您的端點(diǎn)安全解決方案。許多組織仍然使用容易繞過(guò)和破壞的傳統(tǒng)和標(biāo)準(zhǔn)安全措施。升級(jí)到可以更快檢測(cè)和響應(yīng)威脅的現(xiàn)代綜合安全解決方案。
• 單獨(dú)的職能職責(zé)（例如，單獨(dú)的用戶和管理員帳戶）以最大限度地減少敏感數(shù)據(jù)和非敏感數(shù)據(jù)之間的連接。
• 執(zhí)行最小權(quán)限原則(PoLP)，將權(quán)限限制在需要的人。這減少了可以訪問(wèn)敏感數(shù)據(jù)的人數(shù)，從而減少了您的攻擊面。
• 實(shí)施網(wǎng)絡(luò)分段以將敏感數(shù)據(jù)相互隔離并防止在網(wǎng)段之外橫向移動(dòng)。這樣一來(lái)，入侵就可以包含在您網(wǎng)絡(luò)的某一段中，從而限制了潛在損害的范圍。
• 使用多因素身份驗(yàn)證 (MFA)來(lái)驗(yàn)證用戶身份，并使攻擊者更難訪問(wèn)憑據(jù)。MFA 在驗(yàn)證過(guò)程中增加了一個(gè)額外的步驟（或兩個(gè)以上），從而降低了攻擊者獲取登錄權(quán)限的速度和能力。
• 限制不必要的橫向交流。未經(jīng)過(guò)濾的點(diǎn)對(duì)點(diǎn)通信會(huì)給網(wǎng)絡(luò)帶來(lái)重大漏洞，這些漏洞可能允許入侵者創(chuàng)建后門并在您的系統(tǒng)中傳播。限制與拒絕來(lái)自網(wǎng)絡(luò)中其他主機(jī)的數(shù)據(jù)包流的基于主機(jī)的防火墻規(guī)則的通信。
• 通過(guò)定期更新系統(tǒng)和應(yīng)用補(bǔ)丁來(lái)保持良好的 IT 衛(wèi)生。過(guò)時(shí)和未打補(bǔ)丁的系統(tǒng)更容易受到攻擊，并且可以隱藏威脅而不被發(fā)現(xiàn)，直到為時(shí)已晚。