橫向移動技術是威脅行為者滲透并獲得網絡控制權的一種復雜且越來越普遍的方式。在本文中,我們將回顧什么是橫向移動,它是如何工作的,以及如何防止攻擊。您還將了解橫向移動路徑、如何識別它們,以及您可以采取哪些步驟來改善您的安全態勢以應對橫向移動技術。
什么是橫向運動?
那么什么是橫向運動,它是如何發生的呢?橫向移動是指攻擊者獲得對網絡一部分的初始訪問權限,然后嘗試更深入地進入網絡的其余部分——通常通過遠程桌面工具或遠程管理工具 (RAT)。
穿透安全邊界被認為是垂直移動(從外向內移動)。但是一旦不良行為者在您的網絡中站穩腳跟,他們就可以沿著所謂的橫向移動路徑 (LMP) 水平地(即橫向地)穿過網絡的系統和機器。
橫向運動路徑 (LMP)
LMP 是攻擊者用來導航您的網絡并獲得對安全數據的額外訪問權限的步驟。
攻擊者可以使用許多 LMP 來進一步訪問網絡。LMP 帶來的風險會隨著組織的發展而增長。換句話說,加入網絡的用戶越多,登錄的會話就越多(很容易被忽略),網絡層次結構中引入的本地管理員權限也就越多。
一些最常見的攻擊方法(例如憑據盜竊和 Pass the Ticket 攻擊)涉及利用與敏感機器共享存儲的登錄憑據的非敏感機器。非敏感機器本質上為攻擊者感興趣的高價值敏感數據提供了一座橋梁。事實上,研究估計85% 的違規行為涉及人為因素,相應地,網絡釣魚和勒索軟件攻擊上升了 11%和 6%,以及獲取證書的虛假陳述增加了 15 倍。橫向移動允許攻擊者保留訪問權限并避免檢測,即使他們是在第一臺受感染的機器上發現的。
不良行為者如何駕馭 LMP
第 1 步:偵察
攻擊者在網絡中站穩腳跟后,下一步就是進行內部偵察,以了解他們在網絡中的位置以及結構是什么樣的。在這個階段,攻擊者觀察和映射網絡,以及它的用戶和設備。有了這些信息,他們可以發現主機命名約定和層次結構,識別操作系統和防火墻,并就下一步的發展做出戰略決策。
第 2 步:權限提升
要滲透并通過網絡移動,攻擊者需要登錄憑據。然后,他們將使用這些憑據訪問和破壞其他主機,從一個設備移動到另一個設備,并一路升級他們的權限——最終獲得對其目標的控制,例如域控制器、關鍵系統或敏感數據。竊取憑據稱為憑據轉儲。通常,攻擊者會使用網絡釣魚等社交工程策略來誘騙用戶分享他們的憑據。
第 3 步:擴大訪問權限
通過收集憑據,攻擊者可以冒充用戶并獲得對更多主機和服務器的合法訪問權限。可以重復這些步驟,直到攻擊者獲得對其最終目標的訪問權并可以竊取數據或破壞關鍵系統。
橫向移動使攻擊者能夠在網絡中保持持久性——即使安全團隊發現了一臺受感染的設備,攻擊者也會將它們的存在擴展到其他設備,從而使從網絡中根除它們變得更加困難。
這就是為什么安全團隊了解和識別其網絡中潛在的 LMP 如此重要的原因。
橫向運動檢測
您已經采取了安全措施來阻止不良行為者進入您的網絡。但是如果他們越過了你的外線防守會發生什么?如今,安全團隊必須比以往更快地檢測和消除威脅。在過去一年中,平均突破時間(威脅參與者從最初訪問到橫向移動所需的時間)下降了 67%——超過三分之一的對手在不到 30 分鐘的時間內突破。
一旦攻擊者獲得對您網絡的訪問權并獲得有效憑據,就很難檢測到他們的移動,因為它可能看起來是正常的網絡流量。為了檢測(并最終防止)橫向移動,安全團隊需要知道攻擊者如何在他們的系統中傳播并確定他們可以接觸到哪些關鍵資產。說起來容易做起來難。有效檢測網絡中的橫向移動通常需要結合多種方法,包括映射 LMP 并進行實時監控和調查。
映射 LMP
識別網絡中的潛在 LMP 讓您比潛在的攻擊者領先一步。這包括審查您的網絡基礎設施和組織層次結構以發現弱點,即非敏感和敏感數據、設備或系統之間的連接。
例如,如果您在 CFO 的筆記本電腦上擁有一個或多個具有本地管理員權限的非敏感用戶,則表示存在易受攻擊的 LMP。一旦你繪制出這些潛在的路徑,你就可以采取措施來加強、隔離和保護這些聯系。
監控和警報
由于橫向移動涉及由人(而不是機器)操作的遠程控制,因此可以對網絡流量分析工具進行編程,以快速識別可疑行為,例如內部偵察嘗試。
實施實時監控以收集、規范化和關聯整個網絡中的數據,并提醒您可疑活動。聚合警報將使您能夠觀察威脅的進展和復合活動 - 幫助您更快地將實際威脅歸零。
調查和行為分析
除了監控和識別 LMP 之外,還應定期進行行為分析,以調查和發現網絡中的任何異常活動。用戶和實體行為分析 (UEBA) 使用機器學習來識別每個用戶的行為模式,定義基線(正常活動),并確定任何偏離規范的活動的重要性。了解這些模式偏差可以幫助您發現可疑活動并提供支持進一步調查所需的證據。
如何防止橫向運動和改善你的防守姿勢
減少檢測和響應威脅所需的時間是限制橫向移動攻擊的損害(和成本)的關鍵。通過采取以下步驟,增強您的安全態勢并防止在您的網絡中橫向移動:
- 評估您的安全策略并確保它包括阻止入侵的預防性解決方案以及自動識別威脅的檢測和響應解決方案。
- 更新您的端點安全解決方案。許多組織仍然使用容易繞過和破壞的傳統和標準安全措施。升級到可以更快檢測和響應威脅的現代綜合安全解決方案。
- 單獨的職能職責(例如,單獨的用戶和管理員帳戶)以最大限度地減少敏感數據和非敏感數據之間的連接。
- 執行最小權限原則(PoLP),將權限限制在需要的人。這減少了可以訪問敏感數據的人數,從而減少了您的攻擊面。
- 實施網絡分段以將敏感數據相互隔離并防止在網段之外橫向移動。這樣一來,入侵就可以包含在您網絡的某一段中,從而限制了潛在損害的范圍。
- 使用多因素身份驗證 (MFA)來驗證用戶身份,并使攻擊者更難訪問憑據。MFA 在驗證過程中增加了一個額外的步驟(或兩個以上),從而降低了攻擊者獲取登錄權限的速度和能力。
- 限制不必要的橫向交流。未經過濾的點對點通信會給網絡帶來重大漏洞,這些漏洞可能允許入侵者創建后門并在您的系統中傳播。限制與拒絕來自網絡中其他主機的數據包流的基于主機的防火墻規則的通信。
- 通過定期更新系統和應用補丁來保持良好的 IT 衛生。過時和未打補丁的系統更容易受到攻擊,并且可以隱藏威脅而不被發現,直到為時已晚。
