7 \- l2 N" ?* I/ N& J" f/ I, M: Y4 w- d. a" ^! g) f T
横向移动攻击充分体现了“网络安全链的强度完全取决于最薄弱的那一环”这一观点。高级持续性威胁(APT)是横向移动带来的最常见网络攻击类型。如果网络有足够多未加保护的漏洞,只要有足够的时间,黑客最终就可以访问域控制器本身,进而可以攻击企业的整套数字基础设施,包括根账户。# }6 @2 R1 I1 t3 ?, b
! P3 o" A- v+ j: d: W 1 F4 H# z2 x: z1 C9 @. N3 y1 o, s* y5 ?/ c1 }) R5 |0 d
横向移动的攻击模式 ' A# f/ V& U' q- ~2 Y1 ` ) ~6 M" a u$ H9 U- @; H0 c横向移动攻击的特点是,黑客利用在某个点非法获取的网络访问权,收集系统其他部分的信息并实施攻击活动。这包括访问额外的凭据、利用配置不当的功能以及钻软件漏洞的空子等。如果没有适当的预防措施,黑客获取网络中某个点的访问权后,就能访问另外几个点。 : y1 k+ M4 m9 [! f% \- A3 K* p3 ^' u! a. R
. A7 [" J9 A9 `7 y/ H
: A% T: s; b: N) f# E* E& u( c
实施横向移动的黑客通常采用以下几步:, V6 z; h) Z2 n; b" r1 G. c
6 b. [* \# ~! b' i# p! T, k+ @& L + B3 Q: |6 F* D6 A) M* e# P: b, q
1. 侦察:这一步是指不法分子找出目标。在这一环节,黑客可能会调查外部网络、社交媒体活动和任何存储的凭据。所谓的“凭据转储”(credential dump)使黑客能够渗入到组织的电子邮件账户或虚拟专用网(扶墙)。$ S" i( k! ?" q8 M
, q5 U' ~ R; r) s
" f! [+ X$ W$ V% F8 F
- l# @9 \$ |, p, ?5 F* _1 R2 K7 N
2. 渗透:初始扫描和探测可让黑客找到一条或多条潜在的攻击途径。一旦发现薄弱环节,不法分子会企图用它来访问其他易受攻击的账户和硬件。这时候“横向运动”就会发生。一个不安全的漏洞可以让不法分子访问组织的整个网络。 . f0 U9 R# r1 L5 ?$ }8 P! t. b# I \: A
9 W) @6 s/ u t' K, Y9 t7 Y5 U
$ t _3 H5 _, E; k( V# g3. 漏洞研究:访问低级账户可带来关于操作系统、网络组织及层次结构以及数字资产位置的大量信息。黑客可以利用IPConfig、ARP缓存和Netstat等操作系统实用工具来收集有关攻击目标数字环境的其他信息。$ E, j' D+ M3 x$ B7 Q4 Q
3 s3 o( _. h/ d& F, O6 D. M6 N 2 ~/ E: S4 G( s: K K& q% E# t) }4 `1 d8 c! ] X, n; e$ P& l! n
4. 额外的凭据和访问权窃取:黑客使用这一级访问权来扩大目标网络的控制权。击键记录程序、网络钓鱼尝试和网络嗅探器等工具,可以使用一个受感染的IT区域收集另一个IT区域的信息。这使得攻击者所控制的范围不断扩大。 - ]9 b- K& C! r ]5 f4 x0 @/ R v) `7 S% p
i* m) p/ r- D# z6 g: |( e, T5 H" U! c% k' \
5. 进一步的系统入侵:这时候“高级持续性威胁”发挥威力。如果有足够的权限,攻击者可以不间断地访问这些受感染资产,并可以使用PowerShell和远程桌面软件等控制类应用软件,继续发动攻击。这些持续性威胁可以借助加密等手段不被发现。6 r7 p; e. l2 h+ ~4 P6 U
% f: _. D7 p/ Y4 `4 \" [6 {
; P% {6 `+ p* M) Z H8 k" B1 M; m j
防御横向移动攻击( ]( Y4 e9 V) t; C
5 ]+ }2 a7 k2 z4 x
组织可以采取适当的措施,保护网络安全链中最薄弱的环节,并防止横向移动攻击。以下是防御横向移动攻击的有效方法和措施: 8 @8 \9 w' a8 `; f, ~" W B6 y! I& C. m" }0 E4 q
# o7 W+ o$ v6 F" _( s ! p+ {3 M* x$ P, I0 I# R6 ^8 o1 `" O1. 最小权限原则:最小权限原则是指,组织中的每个成员只有权使用凭据来访问处理日常工作所需的系统和应用程序。例如:只有IT人员才拥有管理权限。# U: E9 C6 L. v1 @4 Z) b$ S! M
- Y& h# Q9 a. x' f2 ~
z1 n n: v% S3 f! r 9 `; u" }1 Y7 T2. 白名单和审查:组织应列出已知安全的应用程序白名单,并列出已知有漏洞的应用程序黑名单。审查和评估所有新的应用程序必不可少。如果请求的新应用程序提供另一个应用程序已经具备的功能,应使用经过审查的应用程序,而不是新的应用程序。 J8 K' j. l* x7 Z* `! i9 X
6 u3 M' j7 ]% J3 K9 J 0 G4 z% a6 B" s. \, B( V- D; T( | l1 W+ O4 w8 S
3. AI和EDR安全:端点检测和响应(EDR)是监测端点、标记可疑事件的典型解决方案。使用EDR工具收集的数据并训练基于AI的网络安全软件,以留意未经授权的访问及可能存在恶意网络活动的其他异常行为。 6 c! D4 J# R+ O$ C9 k% K. b ! _4 H( P% b3 E# a1 z& e2 I 1 A* M. | F) C& j* x$ q5 W4 v # C6 l2 }/ a% h- b9 f& w2 h4. 密码安全:在网上开展业务的任何组织都必须指导员工及相关人员确保做好密码安全工作。这意味着不得在多个网站或账户上重复使用同一密码,定期更改密码。+ {- S4 @) K& v" I' u3 p
L0 f& q+ f5 J' G, Y2 D