什么是横向运动?
横向移动是指威胁行为者在网络中扩散并访问更多系统、服务器和资源的技术。威胁行为者在初始渗透时保持持久性,并通过深入被入侵网络来避免被发现。通过扩大攻击面,横向移动可以推动恶意活动,并进一步访问敏感数据和宝贵资产。
1.侦察
在侦察过程中,威胁行动者会监控、调查和探索目标网络,注意其用户和相关设备。他们还会评估可能的有效载荷和网络操作系统,获取任何有助于渗透的信息。
2.凭证转储
威胁行为者需要合法的登录凭证才能进入网络;凭证转储指的是非法获取凭证的技术。在这一阶段,用户通常会被诱骗通过社会工程学策略泄露他们的凭证,这就为威胁行为者的下一个渗透阶段做好了准备。
3.权限升级
权限升级是指在被入侵的网络中获得更高级别的访问权限。第一个切入点并不总能为威胁者提供他们想要的数据,但利用软件漏洞、薄弱配置和暴力破解凭证,威胁者就能提升权限,进一步访问敏感信息。
4.进入
获取访问权限包括进行内部侦查和突破安全控制,以获取和提取所需的数据。在这一阶段,威胁行为者已成功渗入网络,并可在整个系统中横向移动,实施恶意活动。
利用横向移动的网络攻击
勒索软件: 勒索软件是一种恶意软件,它会加密被入侵设备上的文件,限制用户访问系统或其资源,直到支付赎金为止。由于勒索软件程序可以横向移动,威胁行为者会锁定整个网络,并要求组织或用户支付赎金。
僵尸网络感染: 僵尸网络是由单个操作员指挥和控制的受恶意软件感染的设备网络。僵尸网络感染会劫持整个网络并在系统间移动,以实施各种攻击和恶意软件入侵。
中间人(MitM)攻击: 中间人攻击操纵用户和应用程序之间的网络通信,使威胁行为者能够窃听和捕获敏感信息。这些攻击可通过拦截通信在网络内横向移动,并扩散到整个系统。
多态恶意软件: 这种不断演变的恶意软件可以改变其代码结构和特征,以逃避系统内的检测。其变异能力使其能够生成自身的变体,在不被识别的情况下横向移动,并在网络中传播。
如何检测和防范横向移动
一旦威胁行为者渗透到系统中,他们的流量来源是合法的,这使他们能够躲避传统的安全检测能力。检测和消除这种恶意流量至关重要,以下网络安全实践对防御横向移动至关重要。
EPP 通过阻止威胁者突破网络入口点,限制恶意软件攻击的传播,从而帮助抵御横向移动。EPP 通过监控端点和执行安全措施,限制威胁者入侵系统的能力。
部署 IDPS 对于确保持续监控网络流量和识别任何横向移动迹象至关重要。这种威胁检测解决方案可以阻止恶意流量,在发现威胁时向系统发出警报,并减轻潜在的攻击。
定期更新系统
过时软件中的漏洞可被用于横向移动。使用最新的安全补丁更新所有应用程序和操作系统,可确保威胁行为者无法利用这些漏洞。
PoLP 可将用户权限限制在其角色所需的最低限度,从而减少横向移动。采用 PoLP 可以防止未经授权的权限升级,减少系统被攻破时造成的影响。
CylanceGUARD 作为以人为本的 24x7x365 全天候托管检测和响应服务,CylanceGUARD®可提供企业所需的网络安全专业知识和支持。CylanceGUARD 将BlackBerry®Security Services所体现的专业知识与CylanceENDPOINT™基于人工智能的端点防护 (EPP) 相结合。CylanceGUARD 可为企业提供应对现代威胁所需的一切--无论这种威胁会给企业带来什么。
