网络安全横向移动指南
在网络安全方面,了解威胁参与者的工具、技术和思维过程非常重要。
一旦对手获得对网络的初始访问权限,横向移动允许他们通过破坏目标组织网络中的其他主机来扩展访问权限并保持持久性。
威胁行为者可以收集有关公司用户活动和凭据、重要数据位置的信息,并利用提升权限的方法成功完成他们的攻击、盗窃或间谍活动。
什么是横向移动?
横向移动是网络攻击者使用的一种常见策略,用于在整个网络中旋转,以便访问受害组织的敏感信息和用户信息。
威胁行为者获得公司网络的访问权限后,通常会尝试通过横向移动和侦察收集尽可能多的有关组织的信息,包括关键信息的位置、用户活动、如何获得特权以及如何避免被发现。
在企图进行任何盗窃或损坏之前,所有这些信息都是在尽可能多的组件或设备上秘密收集的。
例如,通过横向移动进行侦察可以帮助网络攻击者了解如何加密或泄露敏感数据,具体取决于哪些机器传输的信息量最大。
它还可以揭示网络上的哪些机器可能持有帐户或子网数据、如何提升权限以获得管理或系统访问权限,或者密码可能存储在何处。
未检测到成功的横向移动的时间越长,威胁参与者在网络中的立足点就越大。
为什么攻击者使用横向移动
横向移动可能是网络攻击者可以采用的一种非常有效的策略,因为它可以让他们了解有关受害组织网络的大量信息。
BianLian组织是最近使用横向移动的威胁行为者的例子。通常通过横向移动,在网络攻击的这个阶段收集的所有信息都可以帮助威胁参与者确定窃取或破坏目标企业的最有效方法。
它还系统地允许他们获得对网络多个部分的持久性,这意味着即使他们在一台设备上被检测到,他们也可以在其他区域继续他们的攻击。
横向移动通常包括:
网络发现:攻击者有机会查看和了解组织的网络、识别信任边界并了解哪些类型的用户拥有哪些级别的访问权限。
防御闪避:利用这些获得的知识,网络攻击者可以将他们的行为与典型的用户行为相匹配,从而最大限度地减少被发现的机会。
收集和渗漏:威胁行为者使用横向移动来找到他们的目标位置,以泄露敏感数据。
特权升级:通过窃取有效凭据,威胁行为者可以在管理级别获得额外特权,以进一步渗透系统并实现邪恶目标。
攻击者如何实现横向移动
威胁行为者采用各种技术成功实现横向移动。他们包括:
凭据访问攻击
利用远程服务攻击
哈希传递攻击
票据传递攻击
Cookie盗窃攻击
污染共享内容攻击
凭证访问攻击
为了开始横向移动活动,网络攻击者必须获得有效凭证才能访问组织的系统,通常是通过单个设备。获得访问权限后,他们可以移动到需要与原始机器相同权限级别的其他机器。
威胁行为者可以通过凭证转储、密码存储或捕获输入来获取初始权限。当诸如 mimikatz (一种开源恶意软件程序)之类的工具访问操作系统中存储的凭据时,就会发生凭据转储。
密码管理器或 Web 浏览器等常见密码存储位置可以被窃听,威胁行为者还可以在用户键入或复制密码以获取访问权限时记录击键或监视剪贴板。
利用远程服务攻击
远程服务通常用于成功的横向移动。SMB 和 RDP 有几个众所周知的漏洞。除了操作系统本机服务外,IT 和系统管理员使用的远程访问软件也可能被威胁参与者滥用和利用,以成功进行横向移动。
哈希传递攻击
该技术使用窃取的密码哈希值(通常通过凭证转储获得)来规避身份验证控制。威胁行为者无需破解哈希即可有效使用它们,而是利用身份验证协议。
票据传递攻击
与 Pass the Hash 非常相似,票据传递攻击是 Kerberos 变体,它使用偷来的 Kerberos 票证横向移动。不需要访问帐户的明文密码。
Cookie盗窃攻击
为了验证 Web 应用程序,会话 cookie 被窃取然后重放。这是未正确管理的单点登录设备中的一个重大漏洞。
污染共享内容攻击
上传恶意代码或破坏共享驱动器上现有文件的威胁行为者可以在其他用户访问此共享内容时成功地在网络内横向移动。
使用横向移动的攻击类型
当今各种各样的网络攻击都使用横向移动。它们包括但不限于:
勒索软件
数据渗漏
间谍
僵尸网络感染
勒索软件
勒索软件可能是最广为人知和最令人恐惧的网络攻击类型,它持有关键数据或网络访问作为人质,直到向威胁行为者支付大笔资金。
横向移动可以让这些网络攻击者感染网络中的多个设备,从而获得对组织的影响力。通过以关键任务服务器为目标,威胁行为者可以停止企业的日常工作流程,使员工在支付赎金之前无法正常工作或为客户提供服务。
此外,威胁行为者可能会泄露敏感信息,并威胁如果不满足赎金条款,就会删除、加密或将数据发布到暗网上。
数据渗漏
由于敏感数据通常存储在受保护的环境中,因此必须使用横向移动技术在信息被盗之前找到并访问这些信息。
一旦成功,威胁行为者就可以复制这些敏感数据,包括知识产权、客户身份或财务信息,并用它来破坏组织或持有它以索取赎金。
间谍
尽管网络攻击通常与数据和身份盗窃或勒索软件攻击有关,但它们也可用于间谍活动或网络间谍活动。
与典型的攻击不同,参与间谍活动的威胁参与者希望在整个网络中游荡时尽可能长时间不被发现。
横向移动允许这些人观察用户在网络上的行为,并收集有关系统随时间在做什么的重要信息。
僵尸网络感染
横向移动可以有效地增加网络攻击者在僵尸网络感染中可以控制的设备数量。
在僵尸网络攻击期间,威胁行为者接管系统内的多个设备,并使用恶意软件将它们置于自己的控制之下。
通常称为分布式拒绝服务 (DDoS) 攻击,这些违规行为导致合法个人无法通过网络中断使用设备。
停止横向移动
通过采用有效的安全控制措施来打击横向移动,组织可以在横向移动活动影响其网络或系统之前停止横向移动活动。
以下是这样做的关键行动:
使用双因素身份验证 (2FA):此安全方法要求用户提供两种形式的身份验证以访问数据,帮助企业监控和保护敏感数据和关键网络。
实施最小权限:确保所有用户只能访问其工作所需的数据和资源级别,不能超过。严密保护管理和系统访问。
适当地分割网络:监控信任边界并确保网络被分割以防止横向移动。
最大限度地利用现有的安全工具:许多组织利用安全基础设施附带的大量安全设备和工具来检测异常登录。例如,利用云服务中的条件访问策略。
主动寻找威胁:不要因安全警报而超载。投资安全解决方案,提供可操作的威胁情报和搜寻,以最大限度地减少误报并解决关键问题。
与专业合作:专业安全服务商为公司提供多年的网络安全管理经验和威胁防御。对于尚未准备好的企业,采用是很好的解决方案。
理想情况下,您的安全团队的横向移动检测和响应将遵守 1-10-60 规则。
简而言之,当您的网络基础设施受到攻击时,应该需要 1 分钟的检测时间、10 分钟的调查时间和 60 分钟的时间来解决威胁。
对横向移动网络安全的思考
尽管横向移动对于当今的威胁行为者来说是一种常见且有效的策略,但经验丰富的安全专家可以帮助组织减轻他们可能造成的损害。
来自专业的网络安全服务包括横向移动检测,使组织能够在攻击者有机会在其网络中站稳脚跟之前定位并消灭他们,让他们高枕无忧。
网络安全横向移动指南相关推荐
- 网络安全面试指南(CybersecurityInterviewGuide)
多年来筛选了数以千记的简历,为何很多人连面试的机会都没有?参与了数以百记的应聘者的面试,为何如此多的人没有通过最终面试?能力当然是最重要的,可我却见过很多能力不比已经入职的同事差却应聘失败的人,到底该 ...
- 【愚公系列】2023年06月 网络安全高级班 001.网络安全入门指南
文章目录 一.学习导论 1.什么是网络安全 2.网络安全发展前景 二.网络安全入门指南 1.全球网络发展态势 2.国内网络发展态势 3.网络安全行业指南与技能清单 4.网络安全学习路线图详解 5.网络 ...
- Android P 中的网络安全配置指南 network-security-config
摘要:随着数据隐私变得越来越重要,谷歌一直在试图增强移动操作系统的功能,用以保护Android移动设备和端点的所有数据.Android 9.0 P(Pie)预计在8月发布,其网络通信将默认为TLS.为 ...
- 中小企业网络安全建设规划_小型企业网络安全规划指南
中小企业网络安全建设规划 Businesses rely on their networks for their most critical operations and with so much a ...
- NSA和CISA联合发布《5G云基础设施安全保护指南》
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国关键基础设施安全局 (CISA) 和美国国家安全局 (NSA) 分享了关于保护云原生5G网络安全的指南. 这两家机构为负责构建和配置5G云基 ...
- 网络安全的就业及发展前景如何?
网络空间安全专业简称"网络安全专业",主要以信息构建的各种空间领域为主要研究对象,包括网络空间的组成.形态.安全.管理等.该专业致力于培养"互联网+"时代能够支 ...
- 2018年网络安全大事记
2018年网络安全大事记 一.信息泄露与网络攻击篇 1. 信息泄露连续五年创历史记录 自2013年斯诺登事件以来,全球信息泄露规模连年加剧.尽管目前还没有信息泄露统计的确切数字,但2018年的数据泄露 ...
- 漫谈网络安全学习路线:路漫漫其修远兮,吾将上下而求索。
目录 开篇小叙: 1.黑客(网络安全)入门必备 1.1 首先,黑客需要有「正直善良的价值观」. 1.2 其次,黑客需要有「科学合理的方法论」. 1.3 因此,「持续有效的执行力」也是黑客必备的能力. ...
- 网络安全专家,这5本入门秘籍人手一套
哪里有网络,哪里就有数据被入侵的风险.一直以来,网络安全专家都在和黑客斗智斗勇,保护大家的数据安全. 随着疫情的蔓延与爆发,网络攻击愈发严重.据联合国报告,网络钓鱼攻击在仅2020年第一季度就增长了3 ...
最新文章
- 图解Spring解决循环依赖
- 网络存储空间_【百一案评】信息存储空间侵害作品信息网络传播权的认定——北京焦点公司诉北京百度公司侵害信息网络传播权纠纷案...
- 【翻译】Nginx的反向代理
- VSCode的Teams插件
- tcp的3次握手4次挥手
- 两条路,此人如何问甲乙问题?才能走向京城
- HR怼程序员频繁跳槽,程序员竟这么回怼
- 深浅拷贝的应用-copy、mutableCopy
- 腾讯广告算法大赛已启动,逆向算法,等你来战
- shell的简单应用
- Java 8并发工具包简介
- Discuz论坛设置论坛版块横排后,如何设置显示版块图标
- 我的希捷ST31000340NS,BIOS不认,磁头反复归位,BUSY模式的固件门硬盘修复成功
- 广东再增一项重大跨海工程 黄茅海跨海通道将开建
- 多个考拉海购的商品主图如何一键批量保存
- SpringCloud微服务使用Feign如何暴露接口并整合SpringBoot测试
- 计算机的管理软件有哪些,电脑里有很多文件,很乱但是都有用,有什么管理软件值得推荐?...
- 见一博客搬家公司 把老紫竹火龙果和我的blog全搬他家去了
- Linux内存占用过高排查过程
- FWFT FIFO的读写操作