當攻擊者入侵一個帳戶或裝置,並利用該入侵來存取其他帳戶或裝置時,網路安全會發生橫向移動。當攻擊者在網路上移動時,橫向移動和權限升級通常會密切相關,並持續獲得越來越高的權限,直到敏感資料被竊取。如果網路沒有設置監控工具,攻擊者無需偵測即可取得橫向移動。為了阻止橫向移動,組織需要能夠偵測異常模式的彈性安全基礎架構。
了解橫向移動
敏感資料通常只能透過數量很少的高權限使用者帳戶存取。另一方面,低特權的使用者帳戶數量較多,攻擊者在需要任何帳戶進行初步入侵時,會有更多機會。舉例來說,公司稅務文件通常只有會計師、CFO 和財務分析師能取得。雖然這些帳戶只有少數,但低特權帳戶可用來將惡意軟體注入網路,或傳送網路釣魚電子郵件給金融員工,以取得其帳戶憑證。
橫向移動也可以讓攻擊者存取其他裝置。例如,攻擊者入侵工作站上的帳戶,並使本機電腦存取伺服器。惡意軟體之後即可安裝在伺服器上。惡意軟體可能是勒索軟體、遠端存取工具(RAT)或用來竊取資料的指令碼。在大多數橫向移動中,目標是取得敏感資料。
橫向移動使用的技術
在大多數橫向移動中,最初的入侵是商業使用者帳戶。攻擊者可透過幾個策略存取這些帳戶:憑證噴霧、通過雜湊、網路釣魚或惡意軟體攻擊。以下是各項策略的簡要說明:
- 認證噴霧:攻擊者使用已知憑證編寫驗證請求。如果使用者為多個帳戶分配相同的密碼,則從一個網站竊取的憑證可能會驗證使用者企業帳戶中的攻擊者,尤其是在未配置雙因素驗證的情況下。
- 通過雜湊:雖然密碼雜湊的資料庫不會揭露純文字值,但暴力字典攻擊可能會暴露雜湊背後的純文字值。
- 網路釣魚:在商業電子郵件入侵(BEC)中,攻擊者會入侵電子郵件帳戶,並傳送網路釣魚電子郵件給高權限的使用者。
- 惡意軟體攻擊:遠端存取工具和惡意軟體竊聽資料,可以讓您存取網路上的其他機器或帳戶。
攻擊者經常使用網路釣魚或惡意軟體,首先取得低特權帳號。攻擊者利用該使用者的電子郵件帳戶,向財務、人力資源或執行團隊中的其他使用者發送訊息,要求存取特定資源。如果網路釣魚目標被迫,攻擊者現在可以存取敏感資料。
促進橫向移動的工具與技術
網路罪犯利用一組工具來執行各種攻擊。駭客團體可能自行建立,但駭客社群卻擁有開放、自由使用的應用程式。以下是幾個例子:
- Mimikatz:有些程式會在記憶體中快取認證。Mimikatz 為電腦記憶體提供快取憑證,以存取其他伺服器或工作站。
- PsExec:Microsoft 為網路管理員開發了 PsExec。它可讓管理員啟動或停止遠端伺服器上的服務。在犯錯的手中,PsExec 可用來啟動遠端伺服器上的惡意軟體。惡意軟體可用來竊取資料或憑證。
- PowerShell:PowerShell 是 Microsoft 的指令碼和指令碼語言版本,但它可以用來存取遠端電腦、下載惡意軟體至本機裝置,或在網路上執行惡意活動。
偵測並預防橫向移動
在初次入侵後,攻擊者在提升特權或橫向移動網路的時間有限。在推出低特權帳戶之前,企業組織必須偵測奇怪的網路行為,以阻止初次資料外洩後造成的額外損害。組織有幾個策略來偵測異常活動並停止橫向移動:
- 使用端點防護:在端點上執行的代理程式(例如雲端基礎架構或使用者遠端裝置)會自動更新軟體,確保防毒軟體正在運行,並阻止惡意軟體安裝。
- 啟用網路監控:使用網路監控解決方案持續觀察使用者帳戶的行為模式。舉例來說,在稅務季節後,稅務文件上的存取要求數量增加,可能表示資料遭到入侵。網路監控提醒管理員審查活動。
- 提供安全訓練:訓練高權限使用者識別網路釣魚和社交工程。
- 設定網路分割:將網路區塊從一個區段劃分為另一個區段,以儲存敏感資訊。例如,財務部門應封鎖銷售部門的要求。此策略可降低橫向移動的機動性。
- 加密資料:如果您遭受資料洩露,被加密的資料將無法被攻擊者讀取。
結論
為了阻止橫向移動,成功的關鍵在於主動偵測與監控、區隔網路,以及保護裝置。法規遵循法規也要求監控和稽核敏感資料存取請求。SIEM(安全資訊和事件管理)是監控並提醒管理員異常行為的好解決方案。為了補足您的安全基礎架構,請為員工和承包商提供培訓,幫助他們識別和報告潛在的攻擊,如網路釣魚。
