横向移动技术是威胁行为者渗透并获得网络控制权的一种复杂且越来越普遍的方式。在本文中,我们将回顾什么是横向移动,它是如何工作的,以及如何防止攻击。您还将了解横向移动路径、如何识别它们,以及您可以采取哪些步骤来改善您的安全态势以应对横向移动技术。
什么是横向运动?
那么什么是横向运动,它是如何发生的呢?横向移动是指攻击者获得对网络一部分的初始访问权限,然后尝试更深入地进入网络的其余部分——通常通过远程桌面工具或远程管理工具 (RAT)。
穿透安全边界被认为是垂直移动(从外向内移动)。但是一旦不良行为者在您的网络中站稳脚跟,他们就可以沿着所谓的横向移动路径 (LMP) 水平地(即横向地)穿过网络的系统和机器。
横向运动路径 (LMP)
LMP 是攻击者用来导航您的网络并获得对安全数据的额外访问权限的步骤。
攻击者可以使用许多 LMP 来进一步访问网络。LMP 带来的风险会随着组织的发展而增长。换句话说,加入网络的用户越多,登录的会话就越多(很容易被忽略),网络层次结构中引入的本地管理员权限也就越多。
一些最常见的攻击方法(例如凭据盗窃和 Pass the Ticket 攻击)涉及利用与敏感机器共享存储的登录凭据的非敏感机器。非敏感机器本质上为攻击者感兴趣的高价值敏感数据提供了一座桥梁。事实上,研究估计85% 的违规行为涉及人为因素,相应地,网络钓鱼和勒索软件攻击上升了 11%和 6%,以及获取证书的虚假陈述增加了 15 倍。横向移动允许攻击者保留访问权限并避免检测,即使他们是在第一台受感染的机器上发现的。
不良行为者如何驾驭 LMP
第 1 步:侦察
攻击者在网络中站稳脚跟后,下一步就是进行内部侦察,以了解他们在网络中的位置以及结构是什么样的。在这个阶段,攻击者观察和映射网络,以及它的用户和设备。有了这些信息,他们可以发现主机命名约定和层次结构,识别操作系统和防火墙,并就下一步的发展做出战略决策。
第 2 步:权限提升
要渗透并通过网络移动,攻击者需要登录凭据。然后,他们将使用这些凭据访问和破坏其他主机,从一个设备移动到另一个设备,并一路升级他们的权限——最终获得对其目标的控制,例如域控制器、关键系统或敏感数据。窃取凭据称为凭据转储。通常,攻击者会使用网络钓鱼等社交工程策略来诱骗用户分享他们的凭据。
第 3 步:扩大访问权限
通过收集凭据,攻击者可以冒充用户并获得对更多主机和服务器的合法访问权限。可以重复这些步骤,直到攻击者获得对其最终目标的访问权并可以窃取数据或破坏关键系统。
横向移动使攻击者能够在网络中保持持久性——即使安全团队发现了一台受感染的设备,攻击者也会将它们的存在扩展到其他设备,从而使从网络中根除它们变得更加困难。
这就是为什么安全团队了解和识别其网络中潜在的 LMP 如此重要的原因。
横向运动检测
您已经采取了安全措施来阻止不良行为者进入您的网络。但是如果他们越过了你的外线防守会发生什么?如今,安全团队必须比以往更快地检测和消除威胁。在过去一年中,平均突破时间(威胁参与者从最初访问到横向移动所需的时间)下降了 67%——超过三分之一的对手在不到 30 分钟的时间内突破。
一旦攻击者获得对您网络的访问权并获得有效凭据,就很难检测到他们的移动,因为它可能看起来是正常的网络流量。为了检测(并最终防止)横向移动,安全团队需要知道攻击者如何在他们的系统中传播并确定他们可以接触到哪些关键资产。说起来容易做起来难。有效检测网络中的横向移动通常需要结合多种方法,包括映射 LMP 并进行实时监控和调查。
映射 LMP
识别网络中的潜在 LMP 让您比潜在的攻击者领先一步。这包括审查您的网络基础设施和组织层次结构以发现弱点,即非敏感和敏感数据、设备或系统之间的连接。
例如,如果您在 CFO 的笔记本电脑上拥有一个或多个具有本地管理员权限的非敏感用户,则表示存在易受攻击的 LMP。一旦你绘制出这些潜在的路径,你就可以采取措施来加强、隔离和保护这些联系。
监控和警报
由于横向移动涉及由人(而不是机器)操作的远程控制,因此可以对网络流量分析工具进行编程,以快速识别可疑行为,例如内部侦察尝试。
实施实时监控以收集、规范化和关联整个网络中的数据,并提醒您可疑活动。聚合警报将使您能够观察威胁的进展和复合活动 - 帮助您更快地将实际威胁归零。
调查和行为分析
除了监控和识别 LMP 之外,还应定期进行行为分析,以调查和发现网络中的任何异常活动。用户和实体行为分析 (UEBA) 使用机器学习来识别每个用户的行为模式,定义基线(正常活动),并确定任何偏离规范的活动的重要性。了解这些模式偏差可以帮助您发现可疑活动并提供支持进一步调查所需的证据。
如何防止横向运动和改善你的防守姿势
减少检测和响应威胁所需的时间是限制横向移动攻击的损害(和成本)的关键。通过采取以下步骤,增强您的安全态势并防止在您的网络中横向移动:
- 评估您的安全策略并确保它包括阻止入侵的预防性解决方案以及自动识别威胁的检测和响应解决方案。
- 更新您的端点安全解决方案。许多组织仍然使用容易绕过和破坏的传统和标准安全措施。升级到可以更快检测和响应威胁的现代综合安全解决方案。
- 单独的职能职责(例如,单独的用户和管理员帐户)以最大限度地减少敏感数据和非敏感数据之间的连接。
- 执行最小权限原则(PoLP),将权限限制在需要的人。这减少了可以访问敏感数据的人数,从而减少了您的攻击面。
- 实施网络分段以将敏感数据相互隔离并防止在网段之外横向移动。这样一来,入侵就可以包含在您网络的某一段中,从而限制了潜在损害的范围。
- 使用多因素身份验证 (MFA)来验证用户身份,并使攻击者更难访问凭据。MFA 在验证过程中增加了一个额外的步骤(或两个以上),从而降低了攻击者获取登录权限的速度和能力。
- 限制不必要的横向交流。未经过滤的点对点通信会给网络带来重大漏洞,这些漏洞可能允许入侵者创建后门并在您的系统中传播。限制与拒绝来自网络中其他主机的数据包流的基于主机的防火墙规则的通信。
- 通过定期更新系统和应用补丁来保持良好的 IT 卫生。过时和未打补丁的系统更容易受到攻击,并且可以隐藏威胁而不被发现,直到为时已晚。
