目前，橫向移動(dòng)（lateral movement）已成為需要留意的主要威脅之一。成功的橫向移動(dòng)攻擊可以使攻擊者闖入用戶(hù)現(xiàn)有系統(tǒng)，并訪(fǎng)問(wèn)系統(tǒng)資源。

　　橫向移動(dòng)攻擊充分體現(xiàn)了“網(wǎng)絡(luò)安全鏈的強(qiáng)度完全取決于最薄弱的那一環(huán)”這一觀點(diǎn)。高級(jí)持續(xù)性威脅（APT）是橫向移動(dòng)帶來(lái)的最常見(jiàn)網(wǎng)絡(luò)攻擊類(lèi)型。如果網(wǎng)絡(luò)有足夠多未加保護(hù)的漏洞，只要有足夠的時(shí)間，黑客最終就可以訪(fǎng)問(wèn)域控制器本身，進(jìn)而可以攻擊企業(yè)的整套數(shù)字基礎(chǔ)設(shè)施，包括根賬戶(hù)。

　　橫向移動(dòng)的攻擊模式

　　橫向移動(dòng)攻擊的特點(diǎn)是，黑客利用在某個(gè)點(diǎn)非法獲取的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)，收集系統(tǒng)其他部分的信息并實(shí)施攻擊活動(dòng)。這包括訪(fǎng)問(wèn)額外的憑據(jù)、利用配置不當(dāng)?shù)墓δ芤约般@軟件漏洞的空子等。如果沒(méi)有適當(dāng)?shù)念A(yù)防措施，黑客獲取網(wǎng)絡(luò)中某個(gè)點(diǎn)的訪(fǎng)問(wèn)權(quán)后，就能訪(fǎng)問(wèn)另外幾個(gè)點(diǎn)。

　　實(shí)施橫向移動(dòng)的黑客通常采用以下幾步：

　　1. 偵察：這一步是指不法分子找出目標(biāo)。在這一環(huán)節(jié)，黑客可能會(huì)調(diào)查外部網(wǎng)絡(luò)、社交媒體活動(dòng)和任何存儲(chǔ)的憑據(jù)。所謂的“憑據(jù)轉(zhuǎn)儲(chǔ)”（credential dump）使黑客能夠滲入到組織的電子郵件賬戶(hù)或虛擬專(zhuān)用網(wǎng)（VPN）。

　　2. 滲透：初始掃描和探測(cè)可讓黑客找到一條或多條潛在的攻擊途徑。一旦發(fā)現(xiàn)薄弱環(huán)節(jié)，不法分子會(huì)企圖用它來(lái)訪(fǎng)問(wèn)其他易受攻擊的賬戶(hù)和硬件。這時(shí)候“橫向運(yùn)動(dòng)”就會(huì)發(fā)生。一個(gè)不安全的漏洞可以讓不法分子訪(fǎng)問(wèn)組織的整個(gè)網(wǎng)絡(luò)。

　　3. 漏洞研究：訪(fǎng)問(wèn)低級(jí)賬戶(hù)可帶來(lái)關(guān)于操作系統(tǒng)、網(wǎng)絡(luò)組織及層次結(jié)構(gòu)以及數(shù)字資產(chǎn)位置的大量信息。黑客可以利用IPConfig、ARP緩存和Netstat等操作系統(tǒng)實(shí)用工具來(lái)收集有關(guān)攻擊目標(biāo)數(shù)字環(huán)境的其他信息。

　　4. 額外的憑據(jù)和訪(fǎng)問(wèn)權(quán)竊取：黑客使用這一級(jí)訪(fǎng)問(wèn)權(quán)來(lái)擴(kuò)大目標(biāo)網(wǎng)絡(luò)的控制權(quán)。擊鍵記錄程序、網(wǎng)絡(luò)釣魚(yú)嘗試和網(wǎng)絡(luò)嗅探器等工具，可以使用一個(gè)受感染的IT區(qū)域收集另一個(gè)IT區(qū)域的信息。這使得攻擊者所控制的范圍不斷擴(kuò)大。

　　5. 進(jìn)一步的系統(tǒng)入侵：這時(shí)候“高級(jí)持續(xù)性威脅”發(fā)揮威力。如果有足夠的權(quán)限，攻擊者可以不間斷地訪(fǎng)問(wèn)這些受感染資產(chǎn)，并可以使用PowerShell和遠(yuǎn)程桌面軟件等控制類(lèi)應(yīng)用軟件，繼續(xù)發(fā)動(dòng)攻擊。這些持續(xù)性威脅可以借助加密等手段不被發(fā)現(xiàn)。

　　防御橫向移動(dòng)攻擊

　　組織可以采取適當(dāng)?shù)拇胧Ｗo(hù)網(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)，并防止橫向移動(dòng)攻擊。以下是防御橫向移動(dòng)攻擊的有效方法和措施。

　　1. 最小權(quán)限原則

　　最小權(quán)限原則是指，組織中的每個(gè)成員只有權(quán)使用憑據(jù)來(lái)訪(fǎng)問(wèn)處理日常工作所需的系統(tǒng)和應(yīng)用程序。例如：只有IT人員才擁有管理權(quán)限。

　　2. 白名單和審查

　　組織應(yīng)列出已知安全的應(yīng)用程序白名單，并列出已知有漏洞的應(yīng)用程序黑名單。審查和評(píng)估所有新的應(yīng)用程序必不可少。如果請(qǐng)求的新應(yīng)用程序提供另一個(gè)應(yīng)用程序已經(jīng)具備的功能，應(yīng)使用經(jīng)過(guò)審查的應(yīng)用程序，而不是新的應(yīng)用程序。

　　3. AI和EDR安全

　　端點(diǎn)檢測(cè)和響應(yīng)（EDR）是監(jiān)測(cè)端點(diǎn)、標(biāo)記可疑事件的典型解決方案。使用EDR工具收集的數(shù)據(jù)并訓(xùn)練基于AI的網(wǎng)絡(luò)安全軟件，以留意未經(jīng)授權(quán)的訪(fǎng)問(wèn)及可能存在惡意網(wǎng)絡(luò)活動(dòng)的其他異常行為。

　　4. 密碼安全

　　在網(wǎng)上開(kāi)展業(yè)務(wù)的任何組織都必須指導(dǎo)員工及相關(guān)人員確保做好密碼安全工作。這意味著不得在多個(gè)網(wǎng)站或賬戶(hù)上重復(fù)使用同一密碼，定期更改密碼。

　　5. 雙因子驗(yàn)證

　　雙因子驗(yàn)證（2FA）又叫多因子驗(yàn)證（MFA），是另一種對(duì)付橫向移動(dòng)攻擊的基本而必要的手段。使用2FA之后，如果一組訪(fǎng)問(wèn)憑據(jù)泄密，黑客要想進(jìn)一步行動(dòng)就需要訪(fǎng)問(wèn)第二個(gè)設(shè)備來(lái)驗(yàn)證其訪(fǎng)問(wèn)權(quán)限。

　　橫向移動(dòng)是現(xiàn)代網(wǎng)絡(luò)攻擊的一個(gè)重要部分。它充分利用了不安全的低級(jí)網(wǎng)絡(luò)資產(chǎn)，并鉆了賬戶(hù)保護(hù)不力的空子。上述這些方法對(duì)于加強(qiáng)組織的網(wǎng)絡(luò)安全防御能力應(yīng)該大有助益。