设为首页 - 加入收藏 乌海站长网 (http://www.0473zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 网络 广告 标准
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

横向运动:它是什么以及如何阻止它

发布时间:2019-06-28 13:30 所属栏目:[策划] 来源:佚名
导读:在任何特定的攻击活动中,坏人都有一个特定的目标。此目标可能涉及访问开发人员的计算机并窃取项目的源代码,筛选特定管理人员的电子邮件,或从负责托管支付卡信息的服务器中提取客户数据。他们所需要做的就是妥协他们想要的系统。 当攻击者危害网络中的资

在任何特定的攻击活动中,坏人都有一个特定的目标。此目标可能涉及访问开发人员的计算机并窃取项目的源代码,筛选特定管理人员的电子邮件,或从负责托管支付卡信息的服务器中提取客户数据。他们所需要做的就是妥协他们想要的系统。

横向运动

当攻击者危害网络中的资产时,该设备通常不是他们的最终目的地。为了实现他们的目标,不良攻击者可能会闯入低级别的Web服务器,电子邮件帐户,员工设备或其他一些起始位置。然后,他们将从最初的妥协中横向移动,以达到预期的目标。最初的妥协很少造成严重损害。因此,如果安全团队可以在攻击者到达预定目标之前检测到横向移动,则可以防止数据泄露。

但什么是横向运动,它是如何工作的?我们将介绍一些最常见的横向移动类型,并确定我们可以在数字攻击链中检测和防御此步骤的方法。让我们开始提供横向运动的定义。

了解横向运动

横向移动是指攻击者在网络中获取一个资产,然后将其范围从该设备扩展到同一网络内的其他资产。在任何网络中,您都可以用水平线表示周长。上半部分表示网络外部的内容,而线下方的内容表示内部的内容。对于攻击者进入网络,他们必须垂直移动,即从外向内移动(有时称为南北流向)。但是一旦他们建立了立足点,他们就可以在网络中横向(或横向)移动以达到他们的目标(有时称为东西流向)。

横向运动:它是什么以及如何阻止它

总的来说,威胁行为者横向移动的方式有两种。在第一种方法中,攻击者使用所谓的内部扫描来查找网络中的其他计算机。具体来说,他们会扫描正在侦听的开放端口和遭受(通常已知)漏洞的计算机。此时,攻击者可以滥用这些弱点横向移动到另一个资产。

横向移动的第二种方式利用被盗的凭证,这种情况更为常见。在这种类型的攻击中,不良行为者可能会使用网络钓鱼电子邮件来感染与特定服务器接口的计算机。攻击者可以使用他的访问权限通过键盘记录程序或密码窃取工具来获取密码。接下来,他们可以使用他们能够获取的任何凭据来冒充受害用户并登录到另一台计算机。一旦他们在该计算机上建立了访问权限,他们就可以通过查找他们可以利用的额外共享,凭据和/或权限来重复他们的策略,并反过来沿着建立与目标设备的远程连接的路径使用。

防御横向运动

值得一提的是,横向移动通常表现为异常的网络活动。例如,当只与少数几台计算机定期通话的机器开始扫描整个网络时,这是可疑的。如果该机器尝试连接到开放端口,与通常不与其保持联系的凭证服务进行交互,或者使用以前从未使用过的用户名,则情况也是如此。这个清单一直在继续。重要的是,如果没有IT的适当授权,计算机正在做一些与众不同的事情。

这使组织有机会发现横向移动。分析日志文件中的可疑连接。或者,他们可以使用端点检测和响应(EDR)工具来检测是否有人在受保护的IT资产上启动恶意代码。

但这些防御并非万无一失。例如,依赖日志的安全团队限制其防御姿势的范围,因为日志仅限于特定应用程序和少量方案。专业人员可能决定监控以进行凭据窃取,但数字攻击者可能无法利用此目录服务进行横向移动。这意味着任何和所有不使用有效的产品恶意操作都将被检测不到。除此之外,攻击者知道安全人员倾向于监控的协议类型。他们可以利用这些知识塑造他们的攻击活动,使他们有更好的机会在雷达下飞行。

安全专业人员也不能依靠EDR工具来完全保护他们的组织免受横向移动的攻击。EDR解决方案仅适用于安装它的端点。现在,如果一个攻击者在运行EDR软件的端点上安装了恶意代码,会发生什么?好吧,攻击者可以关闭日志记录,以便EDR解决方案无法看到他们正在做什么。

最后的优势

组织使用日志或EDR工具寻找横向移动是不够的。相反,他们需要将注意力转向网络。这样做将允许组织查看所有网络流量,为每个用户和设备建立正常网络活动的基线,并监控可能指示恶意横向移动的异常操作。这项任务称为异常检测,比检测每个服务和检查每个日志文件中的异常情况更加全面且通常更容易。

异常检测的问题在于许多这些不规则性是良性的。将恶意横向移动与良性网络异常分开所需要的是了解恶意行为是什么样的。元支点的有影诱捕攻击系统每天监控数百万的威胁。使用该威胁行为信息,我们的机器学习系统可以自动构建功能强大的分类器,以非常高的准确度识别那些表现出恶意行为的网络异常,留下良性网络异常,否则会产生误报。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章