横向移动仍然是企业的一大挑战

关键要点

• 横向移动是一种网络攻击技术，在多个著名数据泄露事件中发挥了重要作用。
• 攻击者通过获取初始凭据，进一步访问受害网络中的其他资源。
• 多因素认证和对自动身份的控制是防范横向移动的重要手段。

经过多年发展，横向移动（LateralMovement）依然是许多组织面临的问题。攻击者利用20年前设计的身份基础设施，采用早已被公开的技术，按理说安全和风险团队早该对此有所应对。然而，事实却并非如此。

想象一下它的影响规模：横向移动在许多著名的数据泄露事件中都发挥了作用。最近的Uber泄露事件、SolarWinds事件和对ColonialPipeline的勒索病毒攻击，都是攻击者在无需任何阻碍的情况下自由移动环境的真实例子。实际上，如今近60%的攻击都涉及横向移动。

要对此威胁作出回应，首先必须理解它。横向移动的前提是获得初始的入侵权限。如今，这相对容易实现，攻击者通过各种成熟的技术获取必要的凭据，以便在环境中立足。社交工程攻击和网络钓鱼是常见的手段。而且，随着有个用户名和密码在暗网上流通，攻击者的入门门槛极低。

一旦有了“零号病人”，威胁演员便会开始真正的横向移动。本质上，这意味着要么获取新的身份，包括人类和机器身份，要么提升已有的权限，以访问下一个网络资源，通常这些资源的价值越来越高。他们的目标是抵达关键系统、数据库和其他高价值目标。

从技术角度来看，攻击者在进入环境后使用多种方法来破坏身份，这些方法包括从系统内存中提取密码、哈希值和用户名，利用身份基础设施中的漏洞，甚至直接从网络共享中抓取凭据。

防御这些攻击的挑战

攻击者不需要恶意软件就可以进行横向移动。他们“利用现有资源”——使用可用的工具和基础设施，伪装成合法用户。例如，在Uber攻击中，甚至不需要任何额外工具。整个攻击可能只是从家庭计算机发起，这对于能够深入渗透企业系统的攻击而言，实属令人惊叹。

此外，现代企业内部身份的分散性使得全面了解这一风险变得困难。如今的组织通常使用各式各样的混合遗留本地身份目录和云身份提供商，这些系统并未完全整合。这为攻击者提供了潜入的盲点。

这些因素结合在一起，使得及时采取行动以阻止威胁行为者在网络中移动变得异常困难。鉴于缺乏可见性以及横向移动的动态特性，一些安全团队落后于攻击者。

横向移动检测和预防的指导方针

在可能被用于此类攻击的环境区域实施多因素认证，可以打击威胁行为者的横向移动尝试。围绕遗留应用程序、特权访问管理(PAM)解决方案、关键IT基础设施和访问接口（如PsExec和RemotePowershell）实施MFA，可以为攻击者在这些区域的滥用设置二次挑战。当然，安全团队需要以智能的方式实施这些措施，以适应用户，确保最小的摩擦。

组织还应寻求对在横向移动中使用的自动、非人类身份（即服务账户）进行控制。安全团队可以通过建立活动的基线图片，了解正常行为的表现，进而发现并阻止异常行为。

有效地预防横向移动可以切断勒索病毒攻击者的路径，防止数据泄露，并拒绝对业务关键基础设施的访问。通过正确的方式，身份可以成为组织的增益，而不是被用来对付他们的工具。

Yaron Kassner, Silverfort 联合创始人兼首席技术官