What is Lateral Movement?

在網路攻擊期間,網路威脅行為者在組織網路內首先存取的系統很少是他們的最終目標。 例如,許多網路攻擊的重點是竊取、加密或破壞儲存在資料庫中的有價值的數據,但攻擊者透過網路釣魚或其他技術進入組織的系統,從而使他們能夠危害用戶的工作站。

一旦攻擊者在組織的系統上站穩腳跟,他們通常會橫向移動以存取組織環境中的其他系統和資料。 這可能包括擴展他們的權限或損害其他帳戶以獲得對其他資源的存取權。

Horizon XDR/XPR 早期可用計劃

What is Lateral Movement?

橫向移動技術的類型

一旦進入組織環境,網路犯罪分子就可以使用各種手段來擴大其存取範圍。

一些常見的技術包括:

  • 憑證竊取:一旦攻擊者能夠存取公司係統,他們通常會嘗試竊取密碼雜湊並竊聽網路流量。 這可以讓他們透過密碼破解、雜湊傳遞和票據傳遞攻擊來存取其他帳戶。
  • 內部的 魚叉式網路釣魚通常,網路釣魚防護訓練的重點是識別來自組織外部的惡意訊息。 如果攻擊者可以存取合法使用者的帳戶,他們就可以發送更可信的魚叉式網路釣魚電子郵件、Slack 訊息或其他訊息。
  • 脆弱性利用:就像組織的面向外部的應用程式一樣,內部應用程式和系統也可以具有可利用的脆弱性。 攻擊者可以利用這些脆弱性來存取其他系統和資料。

橫向移動的階段

雖然攻擊者可能使用多種技術進行橫向移動,但整個過程基本上保持不變。

橫向移動的三個主要階段包括:

  • Reconnaissance: 防火牆和其他網路安全解決方案限制了外部攻擊者了解公司網路內部結構的能力。 一旦進入內部,網路威脅行為者通常會先進行偵察,檢查他們所破壞的系統以及網路其餘部分的結構。 根據這些訊息,他們可以製定實現目標的計劃。
  • 憑證盜竊:橫向移動通常涉及盜竊和使用合法憑證。 攻擊者可以透過從受感染的系統轉儲憑證、使用鍵盤記錄器、嗅探網路流量或執行網路釣魚攻擊來存取憑證。 通常,憑證會以密碼雜湊的形式被盜,必須破解密碼才能登入某些系統。
  • 取得存取權限:攻擊者識別出新系統、破壞使用者帳戶或發現可利用的脆弱性後,他們可以橫向移動或擴展其存取權限。 從新的立足點出發,他們或許能夠實現自己的目標,或是重新開始這個過程。

偵測並防止橫向移動

公司可以採取各種措施來防止或偵測透過其網路橫向移動的攻擊者。

一些最佳實踐包括:

  • 安全認證 – MFA網路犯罪分子經常使用受損的憑證在組織的系統中橫向移動。 實施強密碼策略並強制使用多重身份驗證 (MFA) 有助於防範這種威脅。
  • 零信任安全零信任安全性策略僅授予使用者、應用程式等完成其工作所需的存取權限和特權。 限制存取使攻擊者更難使用受感染的帳戶在網路中橫向移動。
  • 延伸偵測與回應(XDR):網路威脅行為者在穿越組織的系統時通常會試圖在雷達下飛行。 XDR 提供的脈絡和集中可見性對於識別潛在的橫向移動指標非常寶貴。
  • 電子郵件資安網路釣魚攻擊是攻擊者獲得初始存取權限並在組織系統中橫向移動的常見方式。 電子郵件安全解決方案可以幫助識別可疑郵件並發出警報。
  • 端點偵測和回應(EDR):橫向移動通常從危害端點並從中竊取敏感資訊(憑證等)開始。 EDR 可以幫助防止初始入侵並偵測憑證轉儲、鍵盤記錄器安裝和類似威脅。
  • 網路流量分析:橫向移動發生在網路上。 網路流量分析可以幫助識別可能指向偵察或橫向移動的異常流量。

帶Check Point的橫向移動安全

理想情況下,攻擊者在獲得對組織系統的存取權限之前將被識別並阻止。 然而,如果這種情況沒有發生,那麼鎖定他們的存取權限並阻止他們實現目標是下一個最好的選擇。

Check Point 解決方案為公司提供識別和打擊網路橫向移動所需的可見度和數據分析。 Check Point Horizon XDR提供集中可見度和進階威脅分析,可協助安全團隊偵測透過其網路傳播的威脅的微妙跡象。 立即註冊 Horizon XDR 早期可用性計劃,以了解有關使用 Check Point 保護網路的更多資訊。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明
好的