防止企業網絡橫向移動的指南。

本指南解釋了系統所有者如何防止和檢測其企業網絡內的橫向移動。它將幫助：

• 提高發現入侵者的機會
• 增加攻擊者進入網絡后達到目標的難度

實施下述建議的安全控制措施（包括監測以檢測橫向移動的早期階段）可以減少嚴重損壞的可能性。

特定于平臺的指導

• 無論使用什么平臺，以下步驟都可以應用于網絡中。但是，有關特定平臺的指導，有移動設備安全集合。
• 要了解有關企業環境中的橫向移動（在本例中使用 Windows 基礎設施）的更多信息 。

什么是橫向運動？

攻擊者在網絡中獲得初步立足點后，他們通常會尋求擴大和鞏固該立足點，同時進一步訪問有價值的數據或系統。這種活動稱為橫向運動。

在主機最初受到攻擊后，橫向移動的第一步是對網絡進行內部偵察。這讓攻擊者了解他們在網絡中的位置及其整體結構。為了鞏固其存在并保持持久性，攻擊者通常會嘗試危害其他主機并升級其權限，最終獲得對其目標（例如域控制器、關鍵系統或敏感數據）的控制。

攻擊者收集的任何憑據都將使他們（看起來是）合法訪問更多主機和服務器。一旦達到目標，數據就可能被泄露，或者系統和設備可能被破壞。

為什么要防止橫向移動？

NCSC 的惡意軟件緩解指南中建議的安全控制  可以降低初始攻擊成功的風險。 但是，您應該 假設擁有足夠時間和資源的攻擊者最終會成功。 因此，重要的是：

• 盡快發現違規行為
• 實施內部安全控制，以減少攻擊者在違規后造成的損害

具有強大邊界保護但沒有內部安全性的網絡使攻擊者在獲得訪問權限后可以自由地穿越網絡。他們能夠立足的時間越長，實現目標的機會就會越大。

保護組織

應用以下保護措施將贏得時間，并更容易檢測橫向移動的嘗試。

1. 保護憑證

網絡上的所有憑據，尤其是管理員帳戶的憑據，都應得到充分保護，以防止攻擊者使用它們來訪問設備和系統。

一種常見的攻擊類型涉及竊取安全令牌以訪問另一臺設備或服務器。“傳遞哈希值”就是一個例子，其中使用竊取的哈希值來驗證攻擊者的身份。用戶或系統不應以純文本形式存儲密碼，并且應保護密碼哈希值以防止攻擊者輕松訪問它們。

用于對設備進行身份驗證的憑據（以及用于對服務進行身份驗證的憑據）都需要受到設備的保護。支持硬件支持的憑證存儲的設備將更好地保護這些憑證。除批準用于工作用途的設備外，不應將工作憑證輸入任何其他設備，因為這些設備可能無法充分保護憑證。

總之：

• 不要以純文本形式存儲密碼，并確保密碼哈希值存儲在受保護的區域中。
• 盡可能使用具有硬件支持的憑據存儲的設備。
• 僅在已批準用于工作用途的設備和服務上使用工作憑據。

2. 部署良好的身份驗證實踐

身份驗證對于用戶來說應該很容易，但攻擊者很難獲得訪問權限。請遵循 NCSC 密碼指南 ，以確保策略遵循最佳實踐。例如，不要在不同的系統中重復使用密碼，并考慮在組織中使用 密碼管理器。這將限制以純文本形式存儲憑據的用戶數量。

如果尚未獲取憑據，登錄限制（例如密碼鎖定和限制）會減少攻擊者與主機進行身份驗證的機會。確保單個賬戶無法授予對企業內所有設備和組件的訪問權限，特別是當這些賬戶具有特權時。

面向互聯網的服務應使用多重身份驗證 (MFA)，以對抗暴力破解和密碼猜測攻擊。MFA 還可以用作惡意軟件無法遠程使用的高權限設備上的物理獨立因素。

單點登錄 (SSO) 可用于限制使用的密碼數量并減少密碼被盜的可能性。我們還鼓勵使用替代技術身份驗證方法，例如生物識別、一次性登錄鏈接（魔術鏈接）、智能卡和硬件支持的 PIN。

總之：

• 遵循 NCSC 密碼指南，不要在不同系統中重復使用密碼。
• 考慮在組織中使用密碼管理器。
• 啟用登錄限制/限制。
• 對面向互聯網的服務和高風險帳戶使用多重身份驗證。
• 盡可能使用密碼的替代身份驗證方法。 

3.保護高權限賬戶

本地和域管理賬戶（可以訪問大多數系統和數據）是網絡中的強大工具。它們的使用應受到嚴格控制和鎖定。

管理員應使用單獨的賬戶；一個用于日常業務使用（例如網頁瀏覽和電子郵件），另一個是僅應在單獨的管理設備上使用的特權管理員帳戶。這降低了受感染設備被用于管理目的的風險。

應阻止管理員賬戶瀏覽網頁和訪問電子郵件，并且僅在任務需要提升權限時使用。

總之：

• 管理員應使用普通賬戶進行正常用戶活動，并僅使用單獨的管理員帳戶進行管理員活動。
• 如果可能，請為普通賬戶和管理員帳戶使用單獨的設備。如果沒有， 請考慮使用“向下瀏覽”方法。
• 鎖定管理員賬戶以防止瀏覽網頁和訪問電子郵件等高風險操作。

4.應用最小權限原則

應盡可能實施“最小權限”原則（賬戶和用戶擁有執行其角色所需的最小訪問權限）。管理帳戶的分層模型確保它們只能訪問所需的特定管理功能，而不是全部。使用各種級別的管理賬戶可以限制正在使用的極高特權賬戶的數量，并且如果較低特權的管理員賬戶受到威脅，則可以減少攻擊者獲得的訪問權限。

通常不應 使用在整個企業中具有完全權限的賬戶（例如域管理員、全局管理員或云管理員賬戶）  。雖然某些任務（例如最初構建網絡、執行升級、創建新的特權帳戶或災難恢復）需要它們，但大多數其他任務應使用較低層的管理賬戶。

使用基于時間的特權訪問可以幫助減少管理員憑據泄露的影響，特別是因為每次用戶請求或接收它時都會對其進行審核。識別高風險設備、服務和用戶可以幫助規劃授予的權限，確保風險最高的人擁有最低的權限。

總之：

• 對管理賬戶使用分層模型，以便它們沒有任何不必要的訪問或特權。
• 僅在絕對必要時才使用在整個企業中具有完全權限的賬戶。
• 考慮使用基于時間的權限來進一步限制其使用。
• 識別高風險設備、服務和用戶，以盡量減少他們的訪問。

5. 鎖定設備

屬于網絡一部分的任何設備或系統（即使是那些沒有直接連接到互聯網的設備或系統）都可能成為攻擊橫向移動階段的目標。所有設備應保持最新狀態，并盡快部署最新補丁。自動更新也可用于簡化此過程，盡管確保冗余設備對在不同時間更新以保持冗余非常重要。

應按照 NCSC 移動設備指南安全地配置端點。如果可能，應將應用程序列入允許列表，以便只有經過批準的應用程序才能運行。這也可以通過使用僅允許安裝和運行來自受信任來源的應用程序的體系結構來完成。

除了網絡邊界上的防火墻之外，  還應啟用主機上的本地防火墻以限制不必要的入站和出站流量。默認情況下，防火墻應阻止所有入站連接（例如 SMB）并僅允許您需要的連接。應定期審查批準的連接列表，以刪除不再需要的連接。

應盡可能啟用安全啟動機制，以確保設備上啟動過程的完整性，并增加攻擊者獲得設備持久性的難度。

最后，請遵循宏安全指南 以降低惡意宏的風險。

總之：

• 補丁發布后立即應用到所有設備，并盡可能使用自動更新。
• 使用允許列表來控制和限制應用程序的使用。
• 遵循宏觀安全指導。
• 在主機上啟用本地防火墻。
• 如果可用，請使用安全啟動機制。
• 請遵循移動設備指南。

6. 將網絡劃分為集合

網絡分段（或隔離）涉及將網絡分成不同的網段。這極大地增加了攻擊者進入網絡后達到其目標的難度，因為他們的入口點可能沒有任何手段到達目標數據或系統。

不需要相互通信或交互的系統和數據應該被分成不同的網段，并且只允許用戶訪問需要的網段。正如我們的網絡安全指南中所述 ，“將網絡按集合隔離：識別、分組和隔離關鍵業務系統，并對它們應用適當的網絡安全控制。”

這些安全控制措施應確保源自網絡邊界內的所有數據和連接不會自動受到信任。ISO  27001 和 27002 標準提供了有關網絡分段的一些見解以及在網絡中實施此分段的最佳實踐。

總之

• 將網絡按組隔離：識別、分組和隔離關鍵業務系統，并對它們應用適當的網絡安全控制。

7. 監控網絡

監控網絡是否存在任何可能令人感興趣的安全事件至關重要。隨著新漏洞的不斷發現，無論您的網絡保護得有多好，堅定的攻擊者最終都會獲得訪問權限。一旦發生這種情況，監控網絡是識別違規行為并做出反應的唯一方法。我們的“網絡安全 10 個步驟”中的網絡 監控 部分提供了一個起點，我們的安全運營中心 (SOC) 買家指南 提供了有關監控過程以及要尋找的內容的更多詳細信息。

監控的基礎是記錄和存儲潛在有趣的安全事件的日志。然后，系統可以分析這些日志并查找可能表明攻擊者已破壞您的網絡的可疑行為，并向責任人員發出警報。您應該在網絡使用的系統和技術（例如防火墻和其他網絡架構上的系統和技術）中啟用任何日志記錄和安全審核功能，以及操作系統內的日志記錄。

了解網絡中高價值資產的位置使您能夠提供更詳細、更敏感的警報。除了各種用戶和帳戶之外，高價值資產還可以包括網絡中的重要服務和服務器（例如域控制器）。一些著名的用戶包括：

• 特權用戶（由于他們擁有的訪問權限）
• 董事會賬戶（由于其中可能包含信息）
• 社交媒體賬戶（如果受到威脅，可能會造成聲譽受損）

應該熟悉整個網絡，包括其結構及其使用方式。對所有可以連接到網絡的設備進行審核，并定期更新以幫助識別非法使用。不尋常的活動可能出現在網絡協議層上，但也可能出現在特定于應用程序的情況下，例如憑證使用和身份驗證事件。

攻擊者會嘗試使用合法的工具和系統混入您平常的網絡流量進行橫向移動，這意味著它經常被典型的反病毒軟件所忽視，并且更難以發現。了解攻擊者可能使用的常見工具和流程將大大增加您識別它們的機會。

網絡監控的最大挑戰是識別真正的安全事件，而不是網絡中存在的大量“噪音”中常見的誤報。了解您的網絡及其用戶的典型行為可以幫助減輕誤報問題，因為您會變得更加善于發現異常活動。通過對網絡進行分段，您有機會重點監控網段之間創建的流量焦點。

總之：

• 請遵循我們的 網絡監控 和 安全運營中心 (SOC) 買家指南出版物。
• 啟用系統上的任何日志記錄和審核功能，并使用它們來檢測異常活動。
• 對可以連接到網絡的所有設備進行審核或記錄，并了解高價值資產。
• 了解并熟悉網絡及其通常的使用方式。

8.考慮使用蜜罐

蜜罐是專門為了受到攻擊而設置的系統。

在網絡內部設置的生產 蜜罐作為真實系統的誘餌，可以成為檢測網絡入侵的寶貴工具。由于蜜罐不是網絡上的合法系統（并且不包含真實數據或服務），因此意外連接可以被認為是惡意活動（因為真正的用戶不需要訪問蜜罐）。如果您檢測到與蜜罐的交互，應立即進行調查。生產蜜罐應用于補充網絡監控和其他入侵檢測技術。

研究蜜罐不會直接使網絡受益，但其目的是收集有關攻擊者使用的最新技術的信息。

使用蜜罐確實會帶來一些風險。研究蜜罐本質上是有風險的，因為它們鼓勵攻擊者與其交互。生產蜜罐的風險較小，但仍然會給組織帶來一些風險，具體取決于其復雜程度。例如，它們可能被利用并用作平臺，在橫向移動期間對網絡中的合法系統發起攻擊。

由于這些原因，只有在評估了不正確實施的影響并且組織擁有相關專業知識的情況下才應使用蜜罐。

總之：

• 考慮在組織中使用生產蜜罐，前提是擁有這樣做的專業知識并了解所涉及的風險。