防止企業(yè)網(wǎng)絡(luò)橫向移動(dòng)的指南。

本指南解釋了系統(tǒng)所有者如何防止和檢測(cè)其企業(yè)網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)。它將幫助：

• 提高發(fā)現(xiàn)入侵者的機(jī)會(huì)
• 增加攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到目標(biāo)的難度

實(shí)施下述建議的安全控制措施（包括監(jiān)測(cè)以檢測(cè)橫向移動(dòng)的早期階段）可以減少嚴(yán)重?fù)p壞的可能性。

特定于平臺(tái)的指導(dǎo)

• 無論使用什么平臺(tái)，以下步驟都可以應(yīng)用于網(wǎng)絡(luò)中。但是，有關(guān)特定平臺(tái)的指導(dǎo)，有移動(dòng)設(shè)備安全集合。
• 要了解有關(guān)企業(yè)環(huán)境中的橫向移動(dòng)（在本例中使用 Windows 基礎(chǔ)設(shè)施）的更多信息 。

什么是橫向運(yùn)動(dòng)？

攻擊者在網(wǎng)絡(luò)中獲得初步立足點(diǎn)后，他們通常會(huì)尋求擴(kuò)大和鞏固該立足點(diǎn)，同時(shí)進(jìn)一步訪問有價(jià)值的數(shù)據(jù)或系統(tǒng)。這種活動(dòng)稱為橫向運(yùn)動(dòng)。

在主機(jī)最初受到攻擊后，橫向移動(dòng)的第一步是對(duì)網(wǎng)絡(luò)進(jìn)行內(nèi)部偵察。這讓攻擊者了解他們?cè)诰W(wǎng)絡(luò)中的位置及其整體結(jié)構(gòu)。為了鞏固其存在并保持持久性，攻擊者通常會(huì)嘗試危害其他主機(jī)并升級(jí)其權(quán)限，最終獲得對(duì)其目標(biāo)（例如域控制器、關(guān)鍵系統(tǒng)或敏感數(shù)據(jù)）的控制。

攻擊者收集的任何憑據(jù)都將使他們（看起來是）合法訪問更多主機(jī)和服務(wù)器。一旦達(dá)到目標(biāo)，數(shù)據(jù)就可能被泄露，或者系統(tǒng)和設(shè)備可能被破壞。

為什么要防止橫向移動(dòng)？

NCSC 的惡意軟件緩解指南中建議的安全控制  可以降低初始攻擊成功的風(fēng)險(xiǎn)。 但是，您應(yīng)該 假設(shè)擁有足夠時(shí)間和資源的攻擊者最終會(huì)成功。 因此，重要的是：

• 盡快發(fā)現(xiàn)違規(guī)行為
• 實(shí)施內(nèi)部安全控制，以減少攻擊者在違規(guī)后造成的損害

具有強(qiáng)大邊界保護(hù)但沒有內(nèi)部安全性的網(wǎng)絡(luò)使攻擊者在獲得訪問權(quán)限后可以自由地穿越網(wǎng)絡(luò)。他們能夠立足的時(shí)間越長(zhǎng)，實(shí)現(xiàn)目標(biāo)的機(jī)會(huì)就會(huì)越大。

保護(hù)組織

應(yīng)用以下保護(hù)措施將贏得時(shí)間，并更容易檢測(cè)橫向移動(dòng)的嘗試。

1. 保護(hù)憑證

網(wǎng)絡(luò)上的所有憑據(jù)，尤其是管理員帳戶的憑據(jù)，都應(yīng)得到充分保護(hù)，以防止攻擊者使用它們來訪問設(shè)備和系統(tǒng)。

一種常見的攻擊類型涉及竊取安全令牌以訪問另一臺(tái)設(shè)備或服務(wù)器。“傳遞哈希值”就是一個(gè)例子，其中使用竊取的哈希值來驗(yàn)證攻擊者的身份。用戶或系統(tǒng)不應(yīng)以純文本形式存儲(chǔ)密碼，并且應(yīng)保護(hù)密碼哈希值以防止攻擊者輕松訪問它們。

用于對(duì)設(shè)備進(jìn)行身份驗(yàn)證的憑據(jù)（以及用于對(duì)服務(wù)進(jìn)行身份驗(yàn)證的憑據(jù)）都需要受到設(shè)備的保護(hù)。支持硬件支持的憑證存儲(chǔ)的設(shè)備將更好地保護(hù)這些憑證。除批準(zhǔn)用于工作用途的設(shè)備外，不應(yīng)將工作憑證輸入任何其他設(shè)備，因?yàn)檫@些設(shè)備可能無法充分保護(hù)憑證。

總之：

• 不要以純文本形式存儲(chǔ)密碼，并確保密碼哈希值存儲(chǔ)在受保護(hù)的區(qū)域中。
• 盡可能使用具有硬件支持的憑據(jù)存儲(chǔ)的設(shè)備。
• 僅在已批準(zhǔn)用于工作用途的設(shè)備和服務(wù)上使用工作憑據(jù)。

2. 部署良好的身份驗(yàn)證實(shí)踐

身份驗(yàn)證對(duì)于用戶來說應(yīng)該很容易，但攻擊者很難獲得訪問權(quán)限。請(qǐng)遵循 NCSC 密碼指南 ，以確保策略遵循最佳實(shí)踐。例如，不要在不同的系統(tǒng)中重復(fù)使用密碼，并考慮在組織中使用 密碼管理器。這將限制以純文本形式存儲(chǔ)憑據(jù)的用戶數(shù)量。

如果尚未獲取憑據(jù)，登錄限制（例如密碼鎖定和限制）會(huì)減少攻擊者與主機(jī)進(jìn)行身份驗(yàn)證的機(jī)會(huì)。確保單個(gè)賬戶無法授予對(duì)企業(yè)內(nèi)所有設(shè)備和組件的訪問權(quán)限，特別是當(dāng)這些賬戶具有特權(quán)時(shí)。

面向互聯(lián)網(wǎng)的服務(wù)應(yīng)使用多重身份驗(yàn)證 (MFA)，以對(duì)抗暴力破解和密碼猜測(cè)攻擊。MFA 還可以用作惡意軟件無法遠(yuǎn)程使用的高權(quán)限設(shè)備上的物理獨(dú)立因素。

單點(diǎn)登錄 (SSO) 可用于限制使用的密碼數(shù)量并減少密碼被盜的可能性。我們還鼓勵(lì)使用替代技術(shù)身份驗(yàn)證方法，例如生物識(shí)別、一次性登錄鏈接（魔術(shù)鏈接）、智能卡和硬件支持的 PIN。

總之：

• 遵循 NCSC 密碼指南，不要在不同系統(tǒng)中重復(fù)使用密碼。
• 考慮在組織中使用密碼管理器。
• 啟用登錄限制/限制。
• 對(duì)面向互聯(lián)網(wǎng)的服務(wù)和高風(fēng)險(xiǎn)帳戶使用多重身份驗(yàn)證。
• 盡可能使用密碼的替代身份驗(yàn)證方法。 

3.保護(hù)高權(quán)限賬戶

本地和域管理賬戶（可以訪問大多數(shù)系統(tǒng)和數(shù)據(jù)）是網(wǎng)絡(luò)中的強(qiáng)大工具。它們的使用應(yīng)受到嚴(yán)格控制和鎖定。

管理員應(yīng)使用單獨(dú)的賬戶；一個(gè)用于日常業(yè)務(wù)使用（例如網(wǎng)頁(yè)瀏覽和電子郵件），另一個(gè)是僅應(yīng)在單獨(dú)的管理設(shè)備上使用的特權(quán)管理員帳戶。這降低了受感染設(shè)備被用于管理目的的風(fēng)險(xiǎn)。

應(yīng)阻止管理員賬戶瀏覽網(wǎng)頁(yè)和訪問電子郵件，并且僅在任務(wù)需要提升權(quán)限時(shí)使用。

總之：

• 管理員應(yīng)使用普通賬戶進(jìn)行正常用戶活動(dòng)，并僅使用單獨(dú)的管理員帳戶進(jìn)行管理員活動(dòng)。
• 如果可能，請(qǐng)為普通賬戶和管理員帳戶使用單獨(dú)的設(shè)備。如果沒有， 請(qǐng)考慮使用“向下瀏覽”方法。
• 鎖定管理員賬戶以防止瀏覽網(wǎng)頁(yè)和訪問電子郵件等高風(fēng)險(xiǎn)操作。

4.應(yīng)用最小權(quán)限原則

應(yīng)盡可能實(shí)施“最小權(quán)限”原則（賬戶和用戶擁有執(zhí)行其角色所需的最小訪問權(quán)限）。管理帳戶的分層模型確保它們只能訪問所需的特定管理功能，而不是全部。使用各種級(jí)別的管理賬戶可以限制正在使用的極高特權(quán)賬戶的數(shù)量，并且如果較低特權(quán)的管理員賬戶受到威脅，則可以減少攻擊者獲得的訪問權(quán)限。

通常不應(yīng) 使用在整個(gè)企業(yè)中具有完全權(quán)限的賬戶（例如域管理員、全局管理員或云管理員賬戶）  。雖然某些任務(wù)（例如最初構(gòu)建網(wǎng)絡(luò)、執(zhí)行升級(jí)、創(chuàng)建新的特權(quán)帳戶或?yàn)?zāi)難恢復(fù)）需要它們，但大多數(shù)其他任務(wù)應(yīng)使用較低層的管理賬戶。

使用基于時(shí)間的特權(quán)訪問可以幫助減少管理員憑據(jù)泄露的影響，特別是因?yàn)槊看斡脩粽?qǐng)求或接收它時(shí)都會(huì)對(duì)其進(jìn)行審核。識(shí)別高風(fēng)險(xiǎn)設(shè)備、服務(wù)和用戶可以幫助規(guī)劃授予的權(quán)限，確保風(fēng)險(xiǎn)最高的人擁有最低的權(quán)限。

總之：

• 對(duì)管理賬戶使用分層模型，以便它們沒有任何不必要的訪問或特權(quán)。
• 僅在絕對(duì)必要時(shí)才使用在整個(gè)企業(yè)中具有完全權(quán)限的賬戶。
• 考慮使用基于時(shí)間的權(quán)限來進(jìn)一步限制其使用。
• 識(shí)別高風(fēng)險(xiǎn)設(shè)備、服務(wù)和用戶，以盡量減少他們的訪問。

5. 鎖定設(shè)備

屬于網(wǎng)絡(luò)一部分的任何設(shè)備或系統(tǒng)（即使是那些沒有直接連接到互聯(lián)網(wǎng)的設(shè)備或系統(tǒng)）都可能成為攻擊橫向移動(dòng)階段的目標(biāo)。所有設(shè)備應(yīng)保持最新狀態(tài)，并盡快部署最新補(bǔ)丁。自動(dòng)更新也可用于簡(jiǎn)化此過程，盡管確保冗余設(shè)備對(duì)在不同時(shí)間更新以保持冗余非常重要。

應(yīng)按照 NCSC 移動(dòng)設(shè)備指南安全地配置端點(diǎn)。如果可能，應(yīng)將應(yīng)用程序列入允許列表，以便只有經(jīng)過批準(zhǔn)的應(yīng)用程序才能運(yùn)行。這也可以通過使用僅允許安裝和運(yùn)行來自受信任來源的應(yīng)用程序的體系結(jié)構(gòu)來完成。

除了網(wǎng)絡(luò)邊界上的防火墻之外，  還應(yīng)啟用主機(jī)上的本地防火墻以限制不必要的入站和出站流量。默認(rèn)情況下，防火墻應(yīng)阻止所有入站連接（例如 SMB）并僅允許您需要的連接。應(yīng)定期審查批準(zhǔn)的連接列表，以刪除不再需要的連接。

應(yīng)盡可能啟用安全啟動(dòng)機(jī)制，以確保設(shè)備上啟動(dòng)過程的完整性，并增加攻擊者獲得設(shè)備持久性的難度。

最后，請(qǐng)遵循宏安全指南 以降低惡意宏的風(fēng)險(xiǎn)。

總之：

• 補(bǔ)丁發(fā)布后立即應(yīng)用到所有設(shè)備，并盡可能使用自動(dòng)更新。
• 使用允許列表來控制和限制應(yīng)用程序的使用。
• 遵循宏觀安全指導(dǎo)。
• 在主機(jī)上啟用本地防火墻。
• 如果可用，請(qǐng)使用安全啟動(dòng)機(jī)制。
• 請(qǐng)遵循移動(dòng)設(shè)備指南。

6. 將網(wǎng)絡(luò)劃分為集合

網(wǎng)絡(luò)分段（或隔離）涉及將網(wǎng)絡(luò)分成不同的網(wǎng)段。這極大地增加了攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到其目標(biāo)的難度，因?yàn)樗麄兊娜肟邳c(diǎn)可能沒有任何手段到達(dá)目標(biāo)數(shù)據(jù)或系統(tǒng)。

不需要相互通信或交互的系統(tǒng)和數(shù)據(jù)應(yīng)該被分成不同的網(wǎng)段，并且只允許用戶訪問需要的網(wǎng)段。正如我們的網(wǎng)絡(luò)安全指南中所述 ，“將網(wǎng)絡(luò)按集合隔離：識(shí)別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng)，并對(duì)它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制。”

這些安全控制措施應(yīng)確保源自網(wǎng)絡(luò)邊界內(nèi)的所有數(shù)據(jù)和連接不會(huì)自動(dòng)受到信任。ISO  27001 和 27002 標(biāo)準(zhǔn)提供了有關(guān)網(wǎng)絡(luò)分段的一些見解以及在網(wǎng)絡(luò)中實(shí)施此分段的最佳實(shí)踐。

總之

• 將網(wǎng)絡(luò)按組隔離：識(shí)別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng)，并對(duì)它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制。

7. 監(jiān)控網(wǎng)絡(luò)

監(jiān)控網(wǎng)絡(luò)是否存在任何可能令人感興趣的安全事件至關(guān)重要。隨著新漏洞的不斷發(fā)現(xiàn)，無論您的網(wǎng)絡(luò)保護(hù)得有多好，堅(jiān)定的攻擊者最終都會(huì)獲得訪問權(quán)限。一旦發(fā)生這種情況，監(jiān)控網(wǎng)絡(luò)是識(shí)別違規(guī)行為并做出反應(yīng)的唯一方法。我們的“網(wǎng)絡(luò)安全 10 個(gè)步驟”中的網(wǎng)絡(luò) 監(jiān)控 部分提供了一個(gè)起點(diǎn)，我們的安全運(yùn)營(yíng)中心 (SOC) 買家指南 提供了有關(guān)監(jiān)控過程以及要尋找的內(nèi)容的更多詳細(xì)信息。

監(jiān)控的基礎(chǔ)是記錄和存儲(chǔ)潛在有趣的安全事件的日志。然后，系統(tǒng)可以分析這些日志并查找可能表明攻擊者已破壞您的網(wǎng)絡(luò)的可疑行為，并向責(zé)任人員發(fā)出警報(bào)。您應(yīng)該在網(wǎng)絡(luò)使用的系統(tǒng)和技術(shù)（例如防火墻和其他網(wǎng)絡(luò)架構(gòu)上的系統(tǒng)和技術(shù)）中啟用任何日志記錄和安全審核功能，以及操作系統(tǒng)內(nèi)的日志記錄。

了解網(wǎng)絡(luò)中高價(jià)值資產(chǎn)的位置使您能夠提供更詳細(xì)、更敏感的警報(bào)。除了各種用戶和帳戶之外，高價(jià)值資產(chǎn)還可以包括網(wǎng)絡(luò)中的重要服務(wù)和服務(wù)器（例如域控制器）。一些著名的用戶包括：

• 特權(quán)用戶（由于他們擁有的訪問權(quán)限）
• 董事會(huì)賬戶（由于其中可能包含信息）
• 社交媒體賬戶（如果受到威脅，可能會(huì)造成聲譽(yù)受損）

應(yīng)該熟悉整個(gè)網(wǎng)絡(luò)，包括其結(jié)構(gòu)及其使用方式。對(duì)所有可以連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行審核，并定期更新以幫助識(shí)別非法使用。不尋常的活動(dòng)可能出現(xiàn)在網(wǎng)絡(luò)協(xié)議層上，但也可能出現(xiàn)在特定于應(yīng)用程序的情況下，例如憑證使用和身份驗(yàn)證事件。

攻擊者會(huì)嘗試使用合法的工具和系統(tǒng)混入您平常的網(wǎng)絡(luò)流量進(jìn)行橫向移動(dòng)，這意味著它經(jīng)常被典型的反病毒軟件所忽視，并且更難以發(fā)現(xiàn)。了解攻擊者可能使用的常見工具和流程將大大增加您識(shí)別它們的機(jī)會(huì)。

網(wǎng)絡(luò)監(jiān)控的最大挑戰(zhàn)是識(shí)別真正的安全事件，而不是網(wǎng)絡(luò)中存在的大量“噪音”中常見的誤報(bào)。了解您的網(wǎng)絡(luò)及其用戶的典型行為可以幫助減輕誤報(bào)問題，因?yàn)槟鷷?huì)變得更加善于發(fā)現(xiàn)異?；顒?dòng)。通過對(duì)網(wǎng)絡(luò)進(jìn)行分段，您有機(jī)會(huì)重點(diǎn)監(jiān)控網(wǎng)段之間創(chuàng)建的流量焦點(diǎn)。

總之：

• 請(qǐng)遵循我們的 網(wǎng)絡(luò)監(jiān)控 和 安全運(yùn)營(yíng)中心 (SOC) 買家指南出版物。
• 啟用系統(tǒng)上的任何日志記錄和審核功能，并使用它們來檢測(cè)異常活動(dòng)。
• 對(duì)可以連接到網(wǎng)絡(luò)的所有設(shè)備進(jìn)行審核或記錄，并了解高價(jià)值資產(chǎn)。
• 了解并熟悉網(wǎng)絡(luò)及其通常的使用方式。

8.考慮使用蜜罐

蜜罐是專門為了受到攻擊而設(shè)置的系統(tǒng)。

在網(wǎng)絡(luò)內(nèi)部設(shè)置的生產(chǎn) 蜜罐作為真實(shí)系統(tǒng)的誘餌，可以成為檢測(cè)網(wǎng)絡(luò)入侵的寶貴工具。由于蜜罐不是網(wǎng)絡(luò)上的合法系統(tǒng)（并且不包含真實(shí)數(shù)據(jù)或服務(wù)），因此意外連接可以被認(rèn)為是惡意活動(dòng)（因?yàn)檎嬲挠脩舨恍枰L問蜜罐）。如果您檢測(cè)到與蜜罐的交互，應(yīng)立即進(jìn)行調(diào)查。生產(chǎn)蜜罐應(yīng)用于補(bǔ)充網(wǎng)絡(luò)監(jiān)控和其他入侵檢測(cè)技術(shù)。

研究蜜罐不會(huì)直接使網(wǎng)絡(luò)受益，但其目的是收集有關(guān)攻擊者使用的最新技術(shù)的信息。

使用蜜罐確實(shí)會(huì)帶來一些風(fēng)險(xiǎn)。研究蜜罐本質(zhì)上是有風(fēng)險(xiǎn)的，因?yàn)樗鼈児膭?lì)攻擊者與其交互。生產(chǎn)蜜罐的風(fēng)險(xiǎn)較小，但仍然會(huì)給組織帶來一些風(fēng)險(xiǎn)，具體取決于其復(fù)雜程度。例如，它們可能被利用并用作平臺(tái)，在橫向移動(dòng)期間對(duì)網(wǎng)絡(luò)中的合法系統(tǒng)發(fā)起攻擊。

由于這些原因，只有在評(píng)估了不正確實(shí)施的影響并且組織擁有相關(guān)專業(yè)知識(shí)的情況下才應(yīng)使用蜜罐。

總之：

• 考慮在組織中使用生產(chǎn)蜜罐，前提是擁有這樣做的專業(yè)知識(shí)并了解所涉及的風(fēng)險(xiǎn)。