防止企業(yè)網(wǎng)絡(luò)橫向移動的指南。

【資料圖】

本指南解釋了系統(tǒng)所有者如何防止和檢測其企業(yè)網(wǎng)絡(luò)內(nèi)的橫向移動。它將幫助：

提高發(fā)現(xiàn)入侵者的機會增加攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到目標(biāo)的難度

實施下述建議的安全控制措施（包括監(jiān)測以檢測橫向移動的早期階段）可以減少嚴(yán)重?fù)p壞的可能性。

特定于平臺的指導(dǎo)無論使用什么平臺，以下步驟都可以應(yīng)用于網(wǎng)絡(luò)中。但是，有關(guān)特定平臺的指導(dǎo)，有移動設(shè)備安全集合。要了解有關(guān)企業(yè)環(huán)境中的橫向移動（在本例中使用 Windows 基礎(chǔ)設(shè)施）的更多信息。什么是橫向運動？

攻擊者在網(wǎng)絡(luò)中獲得初步立足點后，他們通常會尋求擴大和鞏固該立足點，同時進(jìn)一步訪問有價值的數(shù)據(jù)或系統(tǒng)。這種活動稱為橫向運動。

在主機最初受到攻擊后，橫向移動的第一步是對網(wǎng)絡(luò)進(jìn)行內(nèi)部偵察。這讓攻擊者了解他們在網(wǎng)絡(luò)中的位置及其整體結(jié)構(gòu)。為了鞏固其存在并保持持久性，攻擊者通常會嘗試危害其他主機并升級其權(quán)限，最終獲得對其目標(biāo)（例如域控制器、關(guān)鍵系統(tǒng)或敏感數(shù)據(jù)）的控制。

攻擊者收集的任何憑據(jù)都將使他們（看起來是）合法訪問更多主機和服務(wù)器。一旦達(dá)到目標(biāo)，數(shù)據(jù)就可能被泄露，或者系統(tǒng)和設(shè)備可能被破壞。

為什么要防止橫向移動？

NCSC 的惡意軟件緩解指南中建議的安全控制可以降低初始攻擊成功的風(fēng)險。但是，您應(yīng)該假設(shè)擁有足夠時間和資源的攻擊者最終會成功。因此，重要的是：

盡快發(fā)現(xiàn)違規(guī)行為實施內(nèi)部安全控制，以減少攻擊者在違規(guī)后造成的損害

具有強大邊界保護(hù)但沒有內(nèi)部安全性的網(wǎng)絡(luò)使攻擊者在獲得訪問權(quán)限后可以自由地穿越網(wǎng)絡(luò)。他們能夠立足的時間越長，實現(xiàn)目標(biāo)的機會就會越大。

保護(hù)組織

應(yīng)用以下保護(hù)措施將贏得時間，并更容易檢測橫向移動的嘗試。

1. 保護(hù)憑證

網(wǎng)絡(luò)上的所有憑據(jù)，尤其是管理員帳戶的憑據(jù)，都應(yīng)得到充分保護(hù)，以防止攻擊者使用它們來訪問設(shè)備和系統(tǒng)。

一種常見的攻擊類型涉及竊取安全令牌以訪問另一臺設(shè)備或服務(wù)器?！皞鬟f哈希值”就是一個例子，其中使用竊取的哈希值來驗證攻擊者的身份。用戶或系統(tǒng)不應(yīng)以純文本形式存儲密碼，并且應(yīng)保護(hù)密碼哈希值以防止攻擊者輕松訪問它們。

用于對設(shè)備進(jìn)行身份驗證的憑據(jù)（以及用于對服務(wù)進(jìn)行身份驗證的憑據(jù)）都需要受到設(shè)備的保護(hù)。支持硬件支持的憑證存儲的設(shè)備將更好地保護(hù)這些憑證。除批準(zhǔn)用于工作用途的設(shè)備外，不應(yīng)將工作憑證輸入任何其他設(shè)備，因為這些設(shè)備可能無法充分保護(hù)憑證。

總之：不要以純文本形式存儲密碼，并確保密碼哈希值存儲在受保護(hù)的區(qū)域中。盡可能使用具有硬件支持的憑據(jù)存儲的設(shè)備。僅在已批準(zhǔn)用于工作用途的設(shè)備和服務(wù)上使用工作憑據(jù)。2. 部署良好的身份驗證實踐

身份驗證對于用戶來說應(yīng)該很容易，但攻擊者很難獲得訪問權(quán)限。請遵循NCSC 密碼指南，以確保策略遵循最佳實踐。例如，不要在不同的系統(tǒng)中重復(fù)使用密碼，并考慮在組織中使用密碼管理器。這將限制以純文本形式存儲憑據(jù)的用戶數(shù)量。

如果尚未獲取憑據(jù)，登錄限制（例如密碼鎖定和限制）會減少攻擊者與主機進(jìn)行身份驗證的機會。確保單個賬戶無法授予對企業(yè)內(nèi)所有設(shè)備和組件的訪問權(quán)限，特別是當(dāng)這些賬戶具有特權(quán)時。

面向互聯(lián)網(wǎng)的服務(wù)應(yīng)使用多重身份驗證 (MFA)，以對抗暴力破解和密碼猜測攻擊。MFA 還可以用作惡意軟件無法遠(yuǎn)程使用的高權(quán)限設(shè)備上的物理獨立因素。

單點登錄 (SSO) 可用于限制使用的密碼數(shù)量并減少密碼被盜的可能性。我們還鼓勵使用替代技術(shù)身份驗證方法，例如生物識別、一次性登錄鏈接（魔術(shù)鏈接）、智能卡和硬件支持的 PIN。

總之：遵循NCSC 密碼指南，不要在不同系統(tǒng)中重復(fù)使用密碼。考慮在組織中使用密碼管理器。啟用登錄限制/限制。對面向互聯(lián)網(wǎng)的服務(wù)和高風(fēng)險帳戶使用多重身份驗證。盡可能使用密碼的替代身份驗證方法。3.保護(hù)高權(quán)限賬戶

本地和域管理賬戶（可以訪問大多數(shù)系統(tǒng)和數(shù)據(jù)）是網(wǎng)絡(luò)中的強大工具。它們的使用應(yīng)受到嚴(yán)格控制和鎖定。

管理員應(yīng)使用單獨的賬戶；一個用于日常業(yè)務(wù)使用（例如網(wǎng)頁瀏覽和電子郵件），另一個是僅應(yīng)在單獨的管理設(shè)備上使用的特權(quán)管理員帳戶。這降低了受感染設(shè)備被用于管理目的的風(fēng)險。

應(yīng)阻止管理員賬戶瀏覽網(wǎng)頁和訪問電子郵件，并且僅在任務(wù)需要提升權(quán)限時使用。

總之：管理員應(yīng)使用普通賬戶進(jìn)行正常用戶活動，并僅使用單獨的管理員帳戶進(jìn)行管理員活動。如果可能，請為普通賬戶和管理員帳戶使用單獨的設(shè)備。如果沒有，請考慮使用“向下瀏覽”方法。鎖定管理員賬戶以防止瀏覽網(wǎng)頁和訪問電子郵件等高風(fēng)險操作。4.應(yīng)用最小權(quán)限原則

應(yīng)盡可能實施“最小權(quán)限”原則（賬戶和用戶擁有執(zhí)行其角色所需的最小訪問權(quán)限）。管理帳戶的分層模型確保它們只能訪問所需的特定管理功能，而不是全部。使用各種級別的管理賬戶可以限制正在使用的極高特權(quán)賬戶的數(shù)量，并且如果較低特權(quán)的管理員賬戶受到威脅，則可以減少攻擊者獲得的訪問權(quán)限。

通常不應(yīng)使用在整個企業(yè)中具有完全權(quán)限的賬戶（例如域管理員、全局管理員或云管理員賬戶） 。雖然某些任務(wù)（例如最初構(gòu)建網(wǎng)絡(luò)、執(zhí)行升級、創(chuàng)建新的特權(quán)帳戶或災(zāi)難恢復(fù)）需要它們，但大多數(shù)其他任務(wù)應(yīng)使用較低層的管理賬戶。

使用基于時間的特權(quán)訪問可以幫助減少管理員憑據(jù)泄露的影響，特別是因為每次用戶請求或接收它時都會對其進(jìn)行審核。識別高風(fēng)險設(shè)備、服務(wù)和用戶可以幫助規(guī)劃授予的權(quán)限，確保風(fēng)險最高的人擁有最低的權(quán)限。

總之：對管理賬戶使用分層模型，以便它們沒有任何不必要的訪問或特權(quán)。僅在絕對必要時才使用在整個企業(yè)中具有完全權(quán)限的賬戶。考慮使用基于時間的權(quán)限來進(jìn)一步限制其使用。識別高風(fēng)險設(shè)備、服務(wù)和用戶，以盡量減少他們的訪問。5. 鎖定設(shè)備

屬于網(wǎng)絡(luò)一部分的任何設(shè)備或系統(tǒng)（即使是那些沒有直接連接到互聯(lián)網(wǎng)的設(shè)備或系統(tǒng)）都可能成為攻擊橫向移動階段的目標(biāo)。所有設(shè)備應(yīng)保持最新狀態(tài)，并盡快部署最新補丁。自動更新也可用于簡化此過程，盡管確保冗余設(shè)備對在不同時間更新以保持冗余非常重要。

應(yīng)按照NCSC 移動設(shè)備指南安全地配置端點。如果可能，應(yīng)將應(yīng)用程序列入允許列表，以便只有經(jīng)過批準(zhǔn)的應(yīng)用程序才能運行。這也可以通過使用僅允許安裝和運行來自受信任來源的應(yīng)用程序的體系結(jié)構(gòu)來完成。

除了網(wǎng)絡(luò)邊界上的防火墻之外，還應(yīng)啟用主機上的本地防火墻以限制不必要的入站和出站流量。默認(rèn)情況下，防火墻應(yīng)阻止所有入站連接（例如 SMB）并僅允許您需要的連接。應(yīng)定期審查批準(zhǔn)的連接列表，以刪除不再需要的連接。

應(yīng)盡可能啟用安全啟動機制，以確保設(shè)備上啟動過程的完整性，并增加攻擊者獲得設(shè)備持久性的難度。

最后，請遵循宏安全指南以降低惡意宏的風(fēng)險。

總之：補丁發(fā)布后立即應(yīng)用到所有設(shè)備，并盡可能使用自動更新。使用允許列表來控制和限制應(yīng)用程序的使用。遵循宏觀安全指導(dǎo)。在主機上啟用本地防火墻。如果可用，請使用安全啟動機制。請遵循移動設(shè)備指南。6. 將網(wǎng)絡(luò)劃分為集合

網(wǎng)絡(luò)分段（或隔離）涉及將網(wǎng)絡(luò)分成不同的網(wǎng)段。這極大地增加了攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到其目標(biāo)的難度，因為他們的入口點可能沒有任何手段到達(dá)目標(biāo)數(shù)據(jù)或系統(tǒng)。

不需要相互通信或交互的系統(tǒng)和數(shù)據(jù)應(yīng)該被分成不同的網(wǎng)段，并且只允許用戶訪問需要的網(wǎng)段。正如我們的網(wǎng)絡(luò)安全指南中所述，“將網(wǎng)絡(luò)按集合隔離：識別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng)，并對它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制?！?/p>

這些安全控制措施應(yīng)確保源自網(wǎng)絡(luò)邊界內(nèi)的所有數(shù)據(jù)和連接不會自動受到信任。ISO27001 和 27002標(biāo)準(zhǔn)提供了有關(guān)網(wǎng)絡(luò)分段的一些見解以及在網(wǎng)絡(luò)中實施此分段的最佳實踐。

總之將網(wǎng)絡(luò)按組隔離：識別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng)，并對它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制。7. 監(jiān)控網(wǎng)絡(luò)

監(jiān)控網(wǎng)絡(luò)是否存在任何可能令人感興趣的安全事件至關(guān)重要。隨著新漏洞的不斷發(fā)現(xiàn)，無論您的網(wǎng)絡(luò)保護(hù)得有多好，堅定的攻擊者最終都會獲得訪問權(quán)限。一旦發(fā)生這種情況，監(jiān)控網(wǎng)絡(luò)是識別違規(guī)行為并做出反應(yīng)的唯一方法。我們的“網(wǎng)絡(luò)安全 10 個步驟”中的網(wǎng)絡(luò)監(jiān)控部分提供了一個起點，我們的安全運營中心 (SOC) 買家指南提供了有關(guān)監(jiān)控過程以及要尋找的內(nèi)容的更多詳細(xì)信息。

監(jiān)控的基礎(chǔ)是記錄和存儲潛在有趣的安全事件的日志。然后，系統(tǒng)可以分析這些日志并查找可能表明攻擊者已破壞您的網(wǎng)絡(luò)的可疑行為，并向責(zé)任人員發(fā)出警報。您應(yīng)該在網(wǎng)絡(luò)使用的系統(tǒng)和技術(shù)（例如防火墻和其他網(wǎng)絡(luò)架構(gòu)上的系統(tǒng)和技術(shù)）中啟用任何日志記錄和安全審核功能，以及操作系統(tǒng)內(nèi)的日志記錄。

了解網(wǎng)絡(luò)中高價值資產(chǎn)的位置使您能夠提供更詳細(xì)、更敏感的警報。除了各種用戶和帳戶之外，高價值資產(chǎn)還可以包括網(wǎng)絡(luò)中的重要服務(wù)和服務(wù)器（例如域控制器）。一些著名的用戶包括：

特權(quán)用戶（由于他們擁有的訪問權(quán)限）董事會賬戶（由于其中可能包含信息）社交媒體賬戶（如果受到威脅，可能會造成聲譽受損）

應(yīng)該熟悉整個網(wǎng)絡(luò)，包括其結(jié)構(gòu)及其使用方式。對所有可以連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行審核，并定期更新以幫助識別非法使用。不尋常的活動可能出現(xiàn)在網(wǎng)絡(luò)協(xié)議層上，但也可能出現(xiàn)在特定于應(yīng)用程序的情況下，例如憑證使用和身份驗證事件。

攻擊者會嘗試使用合法的工具和系統(tǒng)混入您平常的網(wǎng)絡(luò)流量進(jìn)行橫向移動，這意味著它經(jīng)常被典型的反病毒軟件所忽視，并且更難以發(fā)現(xiàn)。了解攻擊者可能使用的常見工具和流程將大大增加您識別它們的機會。

網(wǎng)絡(luò)監(jiān)控的最大挑戰(zhàn)是識別真正的安全事件，而不是網(wǎng)絡(luò)中存在的大量“噪音”中常見的誤報。了解您的網(wǎng)絡(luò)及其用戶的典型行為可以幫助減輕誤報問題，因為您會變得更加善于發(fā)現(xiàn)異?；顒印Ｍㄟ^對網(wǎng)絡(luò)進(jìn)行分段，您有機會重點監(jiān)控網(wǎng)段之間創(chuàng)建的流量焦點。

總之：請遵循我們的網(wǎng)絡(luò)監(jiān)控和安全運營中心 (SOC) 買家指南出版物。啟用系統(tǒng)上的任何日志記錄和審核功能，并使用它們來檢測異?；顒?。對可以連接到網(wǎng)絡(luò)的所有設(shè)備進(jìn)行審核或記錄，并了解高價值資產(chǎn)。了解并熟悉網(wǎng)絡(luò)及其通常的使用方式。8.考慮使用蜜罐

蜜罐是專門為了受到攻擊而設(shè)置的系統(tǒng)。

在網(wǎng)絡(luò)內(nèi)部設(shè)置的生產(chǎn)蜜罐作為真實系統(tǒng)的誘餌，可以成為檢測網(wǎng)絡(luò)入侵的寶貴工具。由于蜜罐不是網(wǎng)絡(luò)上的合法系統(tǒng)（并且不包含真實數(shù)據(jù)或服務(wù)），因此意外連接可以被認(rèn)為是惡意活動（因為真正的用戶不需要訪問蜜罐）。如果您檢測到與蜜罐的交互，應(yīng)立即進(jìn)行調(diào)查。生產(chǎn)蜜罐應(yīng)用于補充網(wǎng)絡(luò)監(jiān)控和其他入侵檢測技術(shù)。

研究蜜罐不會直接使網(wǎng)絡(luò)受益，但其目的是收集有關(guān)攻擊者使用的最新技術(shù)的信息。

使用蜜罐確實會帶來一些風(fēng)險。研究蜜罐本質(zhì)上是有風(fēng)險的，因為它們鼓勵攻擊者與其交互。生產(chǎn)蜜罐的風(fēng)險較小，但仍然會給組織帶來一些風(fēng)險，具體取決于其復(fù)雜程度。例如，它們可能被利用并用作平臺，在橫向移動期間對網(wǎng)絡(luò)中的合法系統(tǒng)發(fā)起攻擊。

由于這些原因，只有在評估了不正確實施的影響并且組織擁有相關(guān)專業(yè)知識的情況下才應(yīng)使用蜜罐。

總之：考慮在組織中使用生產(chǎn)蜜罐，前提是擁有這樣做的專業(yè)知識并了解所涉及的風(fēng)險。

關(guān)鍵詞：