什麼是網路安全橫向移動？

當攻擊者入侵一個帳戶或裝置，並利用該入侵來存取其他帳戶或裝置時，網路安全會發生橫向移動。當攻擊者在網路上移動時，橫向移動和權限升級通常會密切相關，並持續獲得越來越高的權限，直到敏感資料被竊取。如果網路沒有設置監控工具，攻擊者無需偵測即可取得橫向移動。為了阻止橫向移動，組織需要能夠偵測異常模式的彈性安全基礎架構。

了解橫向移動

敏感資料通常只能透過數量很少的高權限使用者帳戶存取。另一方面，低特權的使用者帳戶數量較多，攻擊者在需要任何帳戶進行初步入侵時，會有更多機會。舉例來說，公司稅務文件通常只有會計師、CFO 和財務分析師能取得。雖然這些帳戶只有少數，但低特權帳戶可用來將惡意軟體注入網路，或傳送網路釣魚電子郵件給金融員工，以取得其帳戶憑證。

橫向移動也可以讓攻擊者存取其他裝置。例如，攻擊者入侵工作站上的帳戶，並使本機電腦存取伺服器。惡意軟體之後即可安裝在伺服器上。惡意軟體可能是勒索軟體、遠端存取工具（RAT）或用來竊取資料的指令碼。在大多數橫向移動中，目標是取得敏感資料。

橫向移動使用的技術

在大多數橫向移動中，最初的入侵是商業使用者帳戶。攻擊者可透過幾個策略存取這些帳戶：憑證噴霧、通過雜湊、網路釣魚或惡意軟體攻擊。以下是各項策略的簡要說明：

認證噴霧：攻擊者使用已知憑證編寫驗證請求。如果使用者為多個帳戶分配相同的密碼，則從一個網站竊取的憑證可能會驗證使用者企業帳戶中的攻擊者，尤其是在未配置雙因素驗證的情況下。
通過雜湊：雖然密碼雜湊的資料庫不會揭露純文字值，但暴力字典攻擊可能會暴露雜湊背後的純文字值。
網路釣魚：在商業電子郵件入侵（BEC）中，攻擊者會入侵電子郵件帳戶，並傳送網路釣魚電子郵件給高權限的使用者。
惡意軟體攻擊：遠端存取工具和惡意軟體竊聽資料，可以讓您存取網路上的其他機器或帳戶。

攻擊者經常使用網路釣魚或惡意軟體，首先取得低特權帳號。攻擊者利用該使用者的電子郵件帳戶，向財務、人力資源或執行團隊中的其他使用者發送訊息，要求存取特定資源。如果網路釣魚目標被迫，攻擊者現在可以存取敏感資料。

促進橫向移動的工具與技術

網路罪犯利用一組工具來執行各種攻擊。駭客團體可能自行建立，但駭客社群卻擁有開放、自由使用的應用程式。以下是幾個例子：

Mimikatz：有些程式會在記憶體中快取認證。Mimikatz 為電腦記憶體提供快取憑證，以存取其他伺服器或工作站。
PsExec：Microsoft 為網路管理員開發了 PsExec。它可讓管理員啟動或停止遠端伺服器上的服務。在犯錯的手中，PsExec 可用來啟動遠端伺服器上的惡意軟體。惡意軟體可用來竊取資料或憑證。
PowerShell：PowerShell 是 Microsoft 的指令碼和指令碼語言版本，但它可以用來存取遠端電腦、下載惡意軟體至本機裝置，或在網路上執行惡意活動。

偵測並預防橫向移動

在初次入侵後，攻擊者在提升特權或橫向移動網路的時間有限。在推出低特權帳戶之前，企業組織必須偵測奇怪的網路行為，以阻止初次資料外洩後造成的額外損害。組織有幾個策略來偵測異常活動並停止橫向移動：

使用端點防護：在端點上執行的代理程式（例如雲端基礎架構或使用者遠端裝置）會自動更新軟體，確保防毒軟體正在運行，並阻止惡意軟體安裝。
啟用網路監控：使用網路監控解決方案持續觀察使用者帳戶的行為模式。舉例來說，在稅務季節後，稅務文件上的存取要求數量增加，可能表示資料遭到入侵。網路監控提醒管理員審查活動。
提供安全訓練：訓練高權限使用者識別網路釣魚和社交工程。
設定網路分割：將網路區塊從一個區段劃分為另一個區段，以儲存敏感資訊。例如，財務部門應封鎖銷售部門的要求。此策略可降低橫向移動的機動性。
加密資料：如果您遭受資料洩露，被加密的資料將無法被攻擊者讀取。