首页 >热点 > > 正文

如何防止网络横向移动攻击

祺印说信安 2023-08-04 10:39:39

防止企业网络横向移动的指南。

本指南解释了系统所有者如何防止和检测其企业网络内的横向移动。它将帮助:

提高发现入侵者的机会增加攻击者进入网络后达到目标的难度

实施下述建议的安全控制措施(包括监测以检测横向移动的早期阶段)可以减少严重损坏的可能性。


(相关资料图)

特定于平台的指导无论使用什么平台,以下步骤都可以应用于网络中。但是,有关特定平台的指导,有移动设备安全集合。要了解有关企业环境中的横向移动(在本例中使用 Windows 基础设施)的更多信息。什么是横向运动?

攻击者在网络中获得初步立足点后,他们通常会寻求扩大和巩固该立足点,同时进一步访问有价值的数据或系统。这种活动称为横向运动。

在主机最初受到攻击后,横向移动的第一步是对网络进行内部侦察。这让攻击者了解他们在网络中的位置及其整体结构。为了巩固其存在并保持持久性,攻击者通常会尝试危害其他主机并升级其权限,最终获得对其目标(例如域控制器、关键系统或敏感数据)的控制。

攻击者收集的任何凭据都将使他们(看起来是)合法访问更多主机和服务器。一旦达到目标,数据就可能被泄露,或者系统和设备可能被破坏。

为什么要防止横向移动?

NCSC 的恶意软件缓解指南中建议的安全控制可以降低初始攻击成功的风险。但是,您应该假设拥有足够时间和资源的攻击者最终会成功。因此,重要的是:

尽快发现违规行为实施内部安全控制,以减少攻击者在违规后造成的损害

具有强大边界保护但没有内部安全性的网络使攻击者在获得访问权限后可以自由地穿越网络。他们能够立足的时间越长,实现目标的机会就会越大。

保护组织

应用以下保护措施将赢得时间,并更容易检测横向移动的尝试。

1. 保护凭证

网络上的所有凭据,尤其是管理员帐户的凭据,都应得到充分保护,以防止攻击者使用它们来访问设备和系统。

一种常见的攻击类型涉及窃取安全令牌以访问另一台设备或服务器。“传递哈希值”就是一个例子,其中使用窃取的哈希值来验证攻击者的身份。用户或系统不应以纯文本形式存储密码,并且应保护密码哈希值以防止攻击者轻松访问它们。

用于对设备进行身份验证的凭据(以及用于对服务进行身份验证的凭据)都需要受到设备的保护。支持硬件支持的凭证存储的设备将更好地保护这些凭证。除批准用于工作用途的设备外,不应将工作凭证输入任何其他设备,因为这些设备可能无法充分保护凭证。

总之:不要以纯文本形式存储密码,并确保密码哈希值存储在受保护的区域中。尽可能使用具有硬件支持的凭据存储的设备。仅在已批准用于工作用途的设备和服务上使用工作凭据。2. 部署良好的身份验证实践

身份验证对于用户来说应该很容易,但攻击者很难获得访问权限。请遵循NCSC 密码指南,以确保策略遵循最佳实践。例如,不要在不同的系统中重复使用密码,并考虑在组织中使用密码管理器。这将限制以纯文本形式存储凭据的用户数量。

如果尚未获取凭据,登录限制(例如密码锁定和限制)会减少攻击者与主机进行身份验证的机会。确保单个账户无法授予对企业内所有设备和组件的访问权限,特别是当这些账户具有特权时。

面向互联网的服务应使用多重身份验证 (MFA),以对抗暴力破解和密码猜测攻击。MFA 还可以用作恶意软件无法远程使用的高权限设备上的物理独立因素。

单点登录 (SSO) 可用于限制使用的密码数量并减少密码被盗的可能性。我们还鼓励使用替代技术身份验证方法,例如生物识别、一次性登录链接(魔术链接)、智能卡和硬件支持的 PIN。

总之:遵循NCSC 密码指南,不要在不同系统中重复使用密码。考虑在组织中使用密码管理器。启用登录限制/限制。对面向互联网的服务和高风险帐户使用多重身份验证。尽可能使用密码的替代身份验证方法。3.保护高权限账户

本地和域管理账户(可以访问大多数系统和数据)是网络中的强大工具。它们的使用应受到严格控制和锁定。

管理员应使用单独的账户;一个用于日常业务使用(例如网页浏览和电子邮件),另一个是仅应在单独的管理设备上使用的特权管理员帐户。这降低了受感染设备被用于管理目的的风险。

应阻止管理员账户浏览网页和访问电子邮件,并且仅在任务需要提升权限时使用。

总之:管理员应使用普通账户进行正常用户活动,并仅使用单独的管理员帐户进行管理员活动。如果可能,请为普通账户和管理员帐户使用单独的设备。如果没有,请考虑使用“向下浏览”方法。锁定管理员账户以防止浏览网页和访问电子邮件等高风险操作。4.应用最小权限原则

应尽可能实施“最小权限”原则(账户和用户拥有执行其角色所需的最小访问权限)。管理帐户的分层模型确保它们只能访问所需的特定管理功能,而不是全部。使用各种级别的管理账户可以限制正在使用的极高特权账户的数量,并且如果较低特权的管理员账户受到威胁,则可以减少攻击者获得的访问权限。

通常不应使用在整个企业中具有完全权限的账户(例如域管理员、全局管理员或云管理员账户) 。虽然某些任务(例如最初构建网络、执行升级、创建新的特权帐户或灾难恢复)需要它们,但大多数其他任务应使用较低层的管理账户。

使用基于时间的特权访问可以帮助减少管理员凭据泄露的影响,特别是因为每次用户请求或接收它时都会对其进行审核。识别高风险设备、服务和用户可以帮助规划授予的权限,确保风险最高的人拥有最低的权限。

总之:对管理账户使用分层模型,以便它们没有任何不必要的访问或特权。仅在绝对必要时才使用在整个企业中具有完全权限的账户。考虑使用基于时间的权限来进一步限制其使用。识别高风险设备、服务和用户,以尽量减少他们的访问。5. 锁定设备

属于网络一部分的任何设备或系统(即使是那些没有直接连接到互联网的设备或系统)都可能成为攻击横向移动阶段的目标。所有设备应保持最新状态,并尽快部署最新补丁。自动更新也可用于简化此过程,尽管确保冗余设备对在不同时间更新以保持冗余非常重要。

应按照NCSC 移动设备指南安全地配置端点。如果可能,应将应用程序列入允许列表,以便只有经过批准的应用程序才能运行。这也可以通过使用仅允许安装和运行来自受信任来源的应用程序的体系结构来完成。

除了网络边界上的防火墙之外,还应启用主机上的本地防火墙以限制不必要的入站和出站流量。默认情况下,防火墙应阻止所有入站连接(例如 SMB)并仅允许您需要的连接。应定期审查批准的连接列表,以删除不再需要的连接。

应尽可能启用安全启动机制,以确保设备上启动过程的完整性,并增加攻击者获得设备持久性的难度。

最后,请遵循宏安全指南以降低恶意宏的风险。

总之:补丁发布后立即应用到所有设备,并尽可能使用自动更新。使用允许列表来控制和限制应用程序的使用。遵循宏观安全指导。在主机上启用本地防火墙。如果可用,请使用安全启动机制。请遵循移动设备指南。6. 将网络划分为集合

网络分段(或隔离)涉及将网络分成不同的网段。这极大地增加了攻击者进入网络后达到其目标的难度,因为他们的入口点可能没有任何手段到达目标数据或系统。

不需要相互通信或交互的系统和数据应该被分成不同的网段,并且只允许用户访问需要的网段。正如我们的网络安全指南中所述,“将网络按集合隔离:识别、分组和隔离关键业务系统,并对它们应用适当的网络安全控制。”

这些安全控制措施应确保源自网络边界内的所有数据和连接不会自动受到信任。ISO27001 和 27002标准提供了有关网络分段的一些见解以及在网络中实施此分段的最佳实践。

总之将网络按组隔离:识别、分组和隔离关键业务系统,并对它们应用适当的网络安全控制。7. 监控网络

监控网络是否存在任何可能令人感兴趣的安全事件至关重要。随着新漏洞的不断发现,无论您的网络保护得有多好,坚定的攻击者最终都会获得访问权限。一旦发生这种情况,监控网络是识别违规行为并做出反应的唯一方法。我们的“网络安全 10 个步骤”中的网络监控部分提供了一个起点,我们的安全运营中心 (SOC) 买家指南提供了有关监控过程以及要寻找的内容的更多详细信息。

监控的基础是记录和存储潜在有趣的安全事件的日志。然后,系统可以分析这些日志并查找可能表明攻击者已破坏您的网络的可疑行为,并向责任人员发出警报。您应该在网络使用的系统和技术(例如防火墙和其他网络架构上的系统和技术)中启用任何日志记录和安全审核功能,以及操作系统内的日志记录。

了解网络中高价值资产的位置使您能够提供更详细、更敏感的警报。除了各种用户和帐户之外,高价值资产还可以包括网络中的重要服务和服务器(例如域控制器)。一些著名的用户包括:

特权用户(由于他们拥有的访问权限)董事会账户(由于其中可能包含信息)社交媒体账户(如果受到威胁,可能会造成声誉受损)

应该熟悉整个网络,包括其结构及其使用方式。对所有可以连接到网络的设备进行审核,并定期更新以帮助识别非法使用。不寻常的活动可能出现在网络协议层上,但也可能出现在特定于应用程序的情况下,例如凭证使用和身份验证事件。

攻击者会尝试使用合法的工具和系统混入您平常的网络流量进行横向移动,这意味着它经常被典型的反病毒软件所忽视,并且更难以发现。了解攻击者可能使用的常见工具和流程将大大增加您识别它们的机会。

网络监控的最大挑战是识别真正的安全事件,而不是网络中存在的大量“噪音”中常见的误报。了解您的网络及其用户的典型行为可以帮助减轻误报问题,因为您会变得更加善于发现异常活动。通过对网络进行分段,您有机会重点监控网段之间创建的流量焦点。

总之:请遵循我们的网络监控和安全运营中心 (SOC) 买家指南出版物。启用系统上的任何日志记录和审核功能,并使用它们来检测异常活动。对可以连接到网络的所有设备进行审核或记录,并了解高价值资产。了解并熟悉网络及其通常的使用方式。8.考虑使用蜜罐

蜜罐是专门为了受到攻击而设置的系统。

在网络内部设置的生产蜜罐作为真实系统的诱饵,可以成为检测网络入侵的宝贵工具。由于蜜罐不是网络上的合法系统(并且不包含真实数据或服务),因此意外连接可以被认为是恶意活动(因为真正的用户不需要访问蜜罐)。如果您检测到与蜜罐的交互,应立即进行调查。生产蜜罐应用于补充网络监控和其他入侵检测技术。

研究蜜罐不会直接使网络受益,但其目的是收集有关攻击者使用的最新技术的信息。

使用蜜罐确实会带来一些风险。研究蜜罐本质上是有风险的,因为它们鼓励攻击者与其交互。生产蜜罐的风险较小,但仍然会给组织带来一些风险,具体取决于其复杂程度。例如,它们可能被利用并用作平台,在横向移动期间对网络中的合法系统发起攻击。

由于这些原因,只有在评估了不正确实施的影响并且组织拥有相关专业知识的情况下才应使用蜜罐。

总之:考虑在组织中使用生产蜜罐,前提是拥有这样做的专业知识并了解所涉及的风险。
上一篇:广西:强降雨来袭 下一篇:最后一页
x
推荐阅读

如何防止网络横向移动攻击

2023-08-04

广西:强降雨来袭

2023-08-04

福田汽车: 公司2023年二季度销量143628台,同比增长30.49%

2023-08-04

dnf勋章怎么强化装备(dnf勋章怎么强化)

2023-08-04

大连棒棰岛景区交通指南

2023-08-04

科普|桃仁杏仁有不同

2023-08-03

2023广东佛山市南海生态环境监测站拟聘用公益一类事业编制工作人员公示

2023-08-03

水利部和中国气象局8月3日18时联合发布橙色山洪灾害气象预警

2023-08-03

白玉手镯好还是黑玉手镯好

2023-08-03

隆基绿能成交89.85亿元 N长华换手率达73.69%

2023-08-03

大爱公益:问止中医向云南省文山州麻栗坡县捐赠100万元AI中医大脑

2023-08-03

连敬涵:新能源车股长线看好 年内累计涨幅较大丨就市论市

2023-08-03

北京:有序恢复各类体育赛事 逐步恢复体育培训、经营活动

2023-08-03

上海浦东新区可提供荣事达电烤箱维修服务地址在哪

2023-08-03

吉林省摘得两枚金牌

2023-08-03

有色金属行业点评报告:政策逆周期调控逐步落地 推荐铝产业链投资机会

2023-08-03

室温超导,对能源意味着什么?

2023-08-03

金龙机电:子公司金兴创竞得一宗土地使用权 有利于推进生产基地建设后续进程

2023-08-03

深圳瑞捷8月3日快速上涨

2023-08-03

法本信息(300925):股价成功突破年线压力位-后市看多(涨)(08-03)

2023-08-03

西山科技(688576.SH):公司主要产品尚未纳入国家或各省市集中带量采购名单

2023-08-03

中国重汽08月02日获深股通增持70.24万股

2023-08-03

名称权的内容有哪些,名称权的主体

2023-08-03

8月2日基金净值:鹏华沪深300指数(LOF)A最新净值1.2952,跌0.63%

2023-08-03

净化大师(关于净化大师的基本详情介绍)

2023-08-03

噔噔噔噔噔噔节奏感很强的纯音乐(节奏感强的武术音乐)

2023-08-03

你猜,全国有多少个人叫“建军”?

2023-08-02

伊朗石油日产量创五年来最高水平 将给油市带来哪些影响?

2023-08-02

青龙湾减河周边巡护队彻夜巡护 保行洪安全

2023-08-02

甘肃陇西县总工会假期托管班打造孩子快乐驿站

2023-08-02

26股获机构买入型评级 药明康德关注度最高

2023-08-02

深夜突发!央行亲自下命令,存量房贷正式下调!!

2023-08-02

先进数通:泛融科技已完成承诺的2021、2022年度经营目标,仍需完成2023年度经营目标

2023-08-02

滁州全椒:党政机关、部队、企业与烈属结对认亲

2023-08-02

上海地铁虹桥火车站站暑运每周五周日新增定点加班车,延时到0:20

2023-08-02

蔬菜的4个营养等级(关于蔬菜的4个营养等级简述)

2023-08-02

国内外利多消息增加,棕榈油随盘上涨

2023-08-02

维力医疗8月2日盘中跌幅达5%

2023-08-02

宁夏石嘴山:“五个聚焦”打造优质消费环境

2023-08-02

瑞幸(LKNCY.US)“狂飙”:二季度净收入同比大增88% 超越星巴克中国

2023-08-02

逐梦|超震撼!“鲲鹏”运油-20与“飞鲨”歼-15首次同框!

2023-08-02

极狐汽车“第三空间” 极狐阿尔法S森林版带你开启沉浸式驾乘体验

2023-08-02

还记得临安买房送黄金吗?业主开始陆续“出货”,有人一把变现45万

2023-08-02

微软Windows 10 PC应用上架:可协作文件共享

2023-08-02

十八座大中型水库超汛限水位 河南水利部门积极防范应对强降雨

2023-08-02

从“方警官”到“阿拉方芳” 军转民警社区成长记

2023-08-02

北向资金一周狂买超530亿,地产仍是内外资焦点

2023-08-02

墨玉手镯戴久了有什么变化

2023-08-02

美联储古尔斯比:任何降息都将在“遥远在未来”

2023-08-02

云南省思茅市2023-08-02 04:30发布地质灾害黄色预警

2023-08-02

尺规作图八种基本作图视频(尺规作图八种基本作图)

2023-08-02

家长威胁自己的孩子到心理问题,是否犯罪行为

2023-08-01

男子肇事逃逸匿行踪 民警抽丝剥茧还真相

2023-08-01

蜇伏的意思(折服的意思)

2023-08-01

康华生物:股东拟减持不超过0.2901%

2023-08-01

第九届中国国际低音铜管艺术节在渝开幕

2023-08-01

海天味业使用25.5亿元自有闲置资金委托理财

2023-08-01

建军节,昔日“女飞”收到来自38年前的特殊节礼

2023-08-01

金管局调查:香港中小企信贷状况大致稳定

2023-08-01

俄罗斯正式启用电子签证,俄媒:将使入境旅游业恢复到疫情前水平

2023-08-01

众泰汽车2涨停

2023-08-01

北京:4架陆航直升机赴门头沟执行空投救援

2023-08-01

民生证券:给予恒为科技买入评级

2023-08-01

近乎翻倍!各地公共充电桩充电价格上涨,长沙有何变化?

2023-08-01

港股异动 | 海信家电(00921)涨超4% 此前预计上半年纯利同比增加110%-140%

2023-08-01

【港股通】汇丰控股(00005)行政总裁祈耀年:有信心实现2023及2024年修订后的有形股本回报率目标

2023-08-01

中国煤炭工业协会:维持高位

2023-08-01

凯乐科技正推进破产清算工作

2023-08-01

旋极信息:7月31日融资买入1586.49万元,融资融券余额3.9亿元

2023-08-01

088期云水谣双色球预测奖号:红球杀8码

2023-08-01

250米的世界最长烤肉

2023-08-01

吉林省启动防汛防台风三级应急响应

2023-08-01

华亚智能拟买冠鸿智能51%股权互补 标的负债率高达93%估值溢价超14倍

2023-08-01

让普通话课堂更加生动有趣

2023-08-01

八月未央

2023-08-01

君逸数码:目前尚未在互联网金融领域有布局

2023-08-01

关于卷帘门尺寸要求的规范 一般卷帘门尺寸是多少

2023-08-01

潍城区特殊安全监管

2023-08-01

新华全媒+|我国首条设计时速350公里高铁15岁,这张“金名片”越擦越亮!

2023-08-01

京津冀协同调度永定河流域因强降雨引发的大洪水

2023-08-01

马云开投智慧农业?阿里卸任高管联手投资,但不是阿里体系内公司

2023-07-31

动漫壁纸(4)

2023-07-31

广东省物资产业(集团)有限公司党委书记、董事长文山接受监察调查

2023-07-31

海贼王:路飞再一次失去承若,两年后能力依旧掉渣!

2023-07-31

沪苏联手激活数据价值, 三家苏州工业企业在上海数交所挂牌数据产品

2023-07-31

2023河南博物院乐队演出门票多少钱?

2023-07-31

网友催“封神”二三部尽快上映,导演透露十绝阵、诛仙阵等将精彩再现

2023-07-31

正海生物:7月30日召开董事会会议

2023-07-31

康美街道开展“垃圾分类齐参与 ·党建引领我先行”宣传活动

2023-07-31

iPhone 15 Pro边框窄至1.5毫米!未来还将应用到iPad

2023-07-31

上半年我国营业性客运量同比增长56.3%

2023-07-31

干字当头打通政策“最后一公里”

2023-07-31

美达股份: 向特定对象发行股票募集资金运用可行性分析报告(二次修订稿)

2023-07-31

最新流行四字祝福句话婚礼祝福语大集结

2023-07-31

京造大促!Apple 苹果 Mac Mini 台式电脑主机仅售2979元

2023-07-31

一批新规8月起施行,为美好生活助力

2023-07-31

福州一餐厅发生疑似燃气爆炸致3伤,事故原因正在调查

2023-07-31

生命的奇迹:从一到多

2023-07-31

索尼第一方游戏移植PC后大获成功,瑞奇与叮当:分离却 failure

2023-07-31

各路“武林高手”齐聚蓉城 这届大运会中国风拉满了!

2023-07-31