一文了解網路安全中的橫向移動

目前，橫向移動（lateral movement）已成為需要留意的主要威脅之一。成功的橫向移動攻擊可以使攻擊者闖入使用者現有系統，並訪問系統資源。

橫向移動攻擊充分體現了“網路安全鏈的強度完全取決於最薄弱的那一環”這一觀點。高階持續性威脅（APT）是橫向移動帶來的最常見網路攻擊型別。如果網路有足夠多未加保護的漏洞，只要有足夠的時間，駭客最終就可以訪問域控制器本身，進而可以攻擊企業的整套數字基礎設施，包括根賬戶。

橫向移動的攻擊模式

橫向移動攻擊的特點是，駭客利用在某個點非法獲取的網路訪問權，收集系統其他部分的資訊並實施攻擊活動。這包括訪問額外的憑據、利用配置不當的功能以及鑽軟體漏洞的空子等。如果沒有適當的預防措施，駭客獲取網路中某個點的訪問權後，就能訪問另外幾個點。

實施橫向移動的駭客通常採用以下幾步：

1. 偵察：這一步是指不法分子找出目標。在這一環節，駭客可能會調查外部網路、社交媒體活動和任何儲存的憑據。所謂的“憑據轉儲”（credential dump）使駭客能夠滲入到組織的電子郵件賬戶或虛擬專用網（VPN）。

2. 滲透：初始掃描和探測可讓駭客找到一條或多條潛在的攻擊途徑。一旦發現薄弱環節，不法分子會企圖用它來訪問其他易受攻擊的賬戶和硬體。這時候“橫向運動”就會發生。一個不安全的漏洞可以讓不法分子訪問組織的整個網路。

3. 漏洞研究：訪問低階賬戶可帶來關於作業系統、網路組織及層次結構以及數字資產位置的大量資訊。駭客可以利用IPConfig、ARP快取和Netstat等作業系統實用工具來收集有關攻擊目標數字環境的其他資訊。

4. 額外的憑據和訪問權竊取：駭客使用這一級訪問權來擴大目標網路的控制權。擊鍵記錄程式、網路釣魚嘗試和網路嗅探器等工具，可以使用一個受感染的IT區域收集另一個IT區域的資訊。這使得攻擊者所控制的範圍不斷擴大。

5. 進一步的系統入侵：這時候“高階持續性威脅”發揮威力。如果有足夠的許可權，攻擊者可以不間斷地訪問這些受感染資產，並可以使用PowerShell和遠端桌面軟體等控制類應用軟體，繼續發動攻擊。這些持續性威脅可以藉助加密等手段不被發現。

防禦橫向移動攻擊

組織可以採取適當的措施，保護網路安全鏈中最薄弱的環節，並防止橫向移動攻擊。以下是防禦橫向移動攻擊的有效方法和措施。

1. 最小許可權原則

最小許可權原則是指，組織中的每個成員只有權使用憑據來訪問處理日常工作所需的系統和應用程式。例如：只有IT人員才擁有管理許可權。

2. 白名單和審查

組織應列出已知安全的應用程式白名單，並列出已知有漏洞的應用程式黑名單。審查和評估所有新的應用程式必不可少。如果請求的新應用程式提供另一個應用程式已經具備的功能，應使用經過審查的應用程式，而不是新的應用程式。

3. AI和EDR安全

端點檢測和響應（EDR）是監測端點、標記可疑事件的典型解決方案。使用EDR工具收集的資料並訓練基於AI的網路安全軟體，以留意未經授權的訪問及可能存在惡意網路活動的其他異常行為。

4. 密碼安全

在網上開展業務的任何組織都必須指導員工及相關人員確保做好密碼安全工作。這意味著不得在多個網站或賬戶上重複使用同一密碼，定期更改密碼。

5. 雙因子驗證

雙因子驗證（2FA）又叫多因子驗證（MFA），是另一種對付橫向移動攻擊的基本而必要的手段。使用2FA之後，如果一組訪問憑據洩密，駭客要想進一步行動就需要訪問第二個裝置來驗證其訪問許可權。

橫向移動是現代網路攻擊的一個重要部分。它充分利用了不安全的低階網路資產，並鑽了賬戶保護不力的空子。上述這些方法對於加強組織的網路安全防禦能力應該大有助益。