理解和检测横向运动

希望对组织发起勒索软件攻击的威胁行为者能够使用被盗的凭据进入用户的电子邮件帐户。利用鱼叉式网络钓鱼技术和侦察,威胁行为者向 IT 部门发送电子邮件,要求提供重要网络应用程序的凭据。他们获得凭据,深入网络,并开始发起勒索软件攻击。

这就是横向运动的作用。这对于重大网络攻击的成功至关重要,一旦发生就很难检测和阻止。这一举动(在本例中是向 IT 发送电子邮件并进入不同的应用程序)看起来是合法的。有了正确的凭据,接下来的动作将显示为正常的网络活动。在计算机屏幕上出现赎金字条之前,该组织可能不知道发生了什么。

在当今日益增长的威胁形势下,了解什么是横向移动、横向移动如何发生以及如何防止横向移动对于组织的网络安全态势至关重要,威胁行为者将同时使用所有可用的工具潜入组织的网络并造成严重破坏。

什么是横向运动

横向移动包括威胁行为者在目标环境中移动以实现其网络攻击目标的策略。实现初始访问后,威胁行为者通常需要进入系统的不同部分或深入系统以窃取数据或执行另一种攻击。

许多类型的网络攻击都利用横向移动,事实上,简单的攻击(例如网络钓鱼诈骗)可能只是利用横向移动来实现某些目标的更复杂攻击的前兆。此类攻击包括勒索软件、僵尸网络攻击、数据泄露和网络间谍活动。

横向运动如何工作

常见的横向运动技术包括:

  • 远程服务的利用
  • 内部鱼叉式网络钓鱼
  • 横向刀具传输
  • 远程劫持
  • 远程桌面协议
  • 云服务登录
  • 应用程序访问令牌

该列表并不详尽,但强调了攻击者可以摇动各个门上的锁并在进入房屋后开始探索的方式。

威胁行为者可以通过多种方式在网络内实现横向移动。关键在于他们拥有什么工具,可以访问什么,以及什么是最有效的并提供最大的覆盖范围,这样他们就不会被组织的网络安全架构检测到。

威胁行为者利用这种技术的一个主要原因是,一旦发生这种情况,组织就很难检测到。横向移动利用所谓的“东/西”流量,这种流量在网络内通常被认为是普通的。用户可以检查他们的电子邮件,然后登录基于云的应用程序,然后可能查看某些资产等。而“北/南”流量(例如,进出网络的流量)很可能是通过防火墙和端点检测工具检测到,一旦威胁行为者进入,他们就可以在没有通知的情况下移动。想象一下,一名犯罪分子偷走了赌场员工的徽章,以初步进入安全区域,然后通过赌场的通风口爬行,以在安全摄像头和工作人员向目标(金库室)移动时保持不被监控的状态,从而继续抢劫。

横向移动与权限升级 

虽然权限升级可以在网络攻击期间用作横向移动技术,但重要的是要注意这两个术语不可互换。权限升级通常是垂直的,仅指用户对应用程序、资产或网络的访问权限以及访问权限的增长方式。威胁行为者在攻击期间可以为自己提供更多访问权限,特别是获得凭证以访问环境的另一部分,但策略本身并不是横向移动。

然而,横向移动可以称为水平权限升级,因为随着黑客的移动,他们对环境的访问权限将会水平增加。

如何检测和防止横向移动

横向移动的主要防御措施是在横向移动发生之前尝试识别并遏制攻击。然而,由于多种原因,这可能很困难,包括攻击者可以利用许多初始接入点,并且停留时间(攻击者在采取行动之前在网络中停留的时间)逐年缩短。

发生横向移动之前的这个时间范围称为“突破时间”,在此窗口内停止攻击可以降低成本、影响以及潜在的业务中断或停机时间。这也可能是一次事件和一次成功的勒索软件攻击之间的区别。

检测和停止横向移动的两种主要方法是:

  • 环境实时监控。高级监控解决方案,例如托管检测和响应 (MDR),可以检测异常活动(例如用户登录到他们通常不登录的应用程序)、应用程序内的规则更改或单个用户在整个网络中的突然移动。环境。组织可以监控活动并将其映射回上述技术,以检测类似于横向移动的行为模式。
  • 行为分析。这就是监控转变为调查的地方。看到“用户做了 x 然后 y 然后 z”是一回事,而软件和人类分析师确定该行为可能可疑或可能符合常见的横向移动技术则是另一回事。

防止横向移动是网络安全的重要组成部分。威胁行为者不希望被检测到并希望高效工作。如果他们无法在环境中做出动作,就会减轻事件的影响。例如,难以利用的被盗凭据可能会阻止攻击者继续攻击,特别是当有其他组织作为目标时,并且继续这种更具挑战性的攻击将延长他们的突破时间。这些预防措施包括:

  • 利用网络隔离和网络分段。这会切断网络的各个部分,从而防止威胁行为者扩大其范围或在网络内部采取行动。
  • 采用漏洞管理。威胁行为者经常利用漏洞不仅用于初始访问,还用于横向移动以获取对各种应用程序的访问权限。适当的修补和强大的漏洞管理程序将在这些漏洞被利用之前弥补它们。
  • 实施零信任。 零信任消除了所有显式访问,并确保用户必须验证自己才能访问任何资产或应用程序。这将阻止攻击者,即使他们有凭据,因为他们将无法验证自己。即使是这样,迎接他们的也会是更多上锁的门和更多试图破解的组合。这个想法不仅是为了减少对有价值的应用程序和资产的暴露,而且是减缓这些威胁行为者的速度,直到他们放弃或被发现。
  • 依托24×7的监控检测解决方案。如上所述,监控很重要,但如果它无法检测和关联环境中的不同事件,则可能无法阻止攻击升级。通过使用 MDR 解决方案,例如Arctic Wolf® 托管检测和响应,您的组织可以覆盖多个基地,并且可以放心,如果发生事件,检测、分析和可能的升级将迅速发生,以防止任何横向移动。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/56532.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JavaWeb合集07-MyBatis

七、MyBatis MyBatis是一款优秀的持久层(dao)框架,用于简化JDBC的开发。 MyBatis本是Apache的一个开源项目iBatis, 2010年这个项目由apache迁移到了google code,并且改名为MyBatis。2013年11月迁移到Github。 官网:https://mybati…

Axure重要元件三——中继器查询和统计

亲爱的小伙伴,在您浏览之前,烦请关注一下,在此深表感谢! 本节课:中继器查询页数 课程内容:查询中继器页面、自动统计页数、自动统计数据条数、上一页下一页 应用场景:表单的查询、表单的基本…

10秒钟用Midjourney画出国风味的变形金刚

上魔咒 Optimus Prime comes from the movie Transformers, Chinese style, Wu ShanMing, Ink Painting Halo Dyeing, Conceptual of the Digita Art, MasterComposition, Romantic Ancient Style, Inspired by traditional patterns and symbols, Minimalism, do not con…

【数据分享】全国资源和环境-环境污染治理投资(1998-2021年)

数据介绍 一级标题指标名称单位指标解释资源和环境环境污染治理投资总额亿元环境污染治理投资指在污染源治理和城市环境基础设施建设的资金投入中,用于形成固定资产的资金,其中污染源治理投资包括工业污染源治理投资和“三同时”项目环保投资两部分。环…

ssm基于SSM的社区管理系统+vue

系统包含:源码论文 所用技术:SpringBootVueSSMMybatisMysql 免费提供给大家参考或者学习,获取源码请私聊我 需要定制请私聊 目 录 目 录 I 摘 要 III ABSTRACT IV 1 绪论 1 1.1 课题背景 1 1.2 研究现状 1 1.3 研究内容 2 [2 系统…

1.2024.10.17

2024.10.17 总体规划 总体规划 写这个合集的原因 记录自己入行之前成长过程。本人菜鸟一枚,大佬不喜勿喷。 目前的规划 更新频率 尽量一天一更,会更新之前发布的笔记,争取笔记更加完善。 学习方法 目标 通过面试,成功入行嵌…

Tailwind css系列教程(三)

vue3环境搭建Tailwind CSS 1、创建vue3项目 创建项目:npm create vitelatest vue3app01 --template vue 进入项目文件夹:cd vue3app01 加载默认库:npm install 测试运行:npm run dev 2、搭建tailwind css (1&a…

Ionic 对话框

Ionic 对话框 Ionic 是一个强大的开源框架,用于构建高性能、高质量的移动和桌面应用程序。它基于流行的 Web 技术如 HTML、CSS 和 JavaScript,并且与 Angular、React 和 Vue 等前端框架紧密集成。Ionic 提供了一套丰富的组件,其中包括对话框…

C++面试速通宝典——27

504. 孤儿进程和僵尸进程是什么?怎么处理? 孤儿进程:当一个父进程结束,而他的一个或多个子进程还在运行时,那些子进程将成为孤儿进程。孤儿进程会被init进程(进程ID为1)自动领养,in…

2010年国赛高教杯数学建模C题输油管的布置解题全过程文档及程序

2010年国赛高教杯数学建模 C题 输油管的布置 某油田计划在铁路线一侧建造两家炼油厂,同时在铁路线上增建一个车站,用来运送成品油。由于这种模式具有一定的普遍性,油田设计院希望建立管线建设费用最省的一般数学模型与方法。   1. 针对两炼…

在线考试系统的现代化解决方案:Spring Boot与JavaWeb

3系统分析 3.1可行性分析 通过对本基于JavaWeb技术的在线考试系统设计与实现实行的目的初步调查和分析,提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本基于JavaWeb技术的在线考试系统设…

10 排序算法:冒泡排序与快速排序(算法原理、算法实现、时间和空间复杂度分析)

目录 1 十大常见的排序算法 1.1 算法的稳定性 2 冒泡排序 2.1 算法原理 2.2 算法实现 2.3 时间空间复杂度分析 2.3.1 时间复杂度分析 2.3.2 空间复杂度分析 3 快速排序 3.1 算法原理 3.1.1 排序思想 3.1.2 递归过程 3.2 示例 3.2.1 示例 1 3.2.2 示例 2 3.2.3 …

设计一个支持自动化测试执行的测试框架

设计一个支持自动化测试执行的测试框架 在现代软件开发中,自动化测试是确保软件质量的重要手段。一个良好的测试框架不仅可以提高测试效率,还能帮助开发团队快速发现和修复缺陷。本文将介绍如何设计一个支持自动化测试执行的测试框架,涵盖框架的基本结构、核心功能以及实现…

JAVA 中系统相关的类

System 类 代表的是当前 Java 程序运行的平台(操作系统),该类被关键字 final 修饰,即该类不能够派生子类,同时该类的构造器被关键字 private 修饰,因此不能够创建 System 类型的实例对象。 System 类中定…

【数据采集工具】Sqoop从入门到面试学习总结

国科大学习生活(期末复习资料、课程大作业解析、大厂实习经验心得等): 文章专栏(点击跳转) 大数据开发学习文档(分布式文件系统的实现,大数据生态圈学习文档等): 文章专栏(点击跳转&…

【DNF mysql8.0安装】DNF安装MySQL服务器教程

在基于Red Hat的Linux发行版中,如CentOS或Fedora,DNF(Dandified Yum)是包管理器,用于安装、更新和卸载软件包。以下是使用DNF安装MySQL服务器(也称为MySQL Community Server)的步骤:…

网易博客旧文----Xtreme ToolkitPro 的CommandBarsDesigner编辑生成的界面如何使用

Xtreme ToolkitPro 的CommandBarsDesigner编辑生成的界面如何使用 2013-03-04 17:22:42| 分类: MFC | 标签: |举报 |字号大中小 订阅 著名的界面开发商Codejock Software开发的MFC界面控件和BCGsoft公司开发的BCGControlBarPro界面有得一拼。 codejock…

SpringBoot整合Freemarker(一)

Freemarker和jsp一样是一个视图的引擎模板,其实所有的模板引擎的工作原理都是类似的,如下图: 接下来就具体讲解一下Freemarker的用法,参考手册:模板 数据模型 输出 - FreeMarker 中文官方参考手册 SpringBoot默认就…

Agentic RAG(基于智能体的检索增强生成)是检索增强生成(Retrieval-Augmented Generation,RAG)技术的一种高级形式

Agentic RAG(基于智能体的检索增强生成)是检索增强生成(Retrieval-Augmented Generation,RAG)技术的一种高级形式,它通过引入人工智能代理(Agent)的概念,为语言模型赋予了…

本地项目上传Github+Gitee上传特定分支到Linux服务器(自用)

一、本地项目上传Github 上传整个项目到一个全新的repositories 或者 上传一个文件到一个特定的分支 步骤 1: 在本地创建 Git 仓库 在项目的根目录下运行以下命令,初始化本地 Git 仓库: git init步骤 2: 添加文件到 Git 仓库 使用以下命令将所有文件…