防止企業(yè)網(wǎng)絡(luò)橫向移動的指南。
本指南解釋了系統(tǒng)所有者如何防止和檢測其企業(yè)網(wǎng)絡(luò)內(nèi)的橫向移動。它將幫助:
- 提高發(fā)現(xiàn)入侵者的機(jī)會
- 增加攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到目標(biāo)的難度
實(shí)施下述建議的安全控制措施(包括監(jiān)測以檢測橫向移動的早期階段)可以減少嚴(yán)重?fù)p壞的可能性。
特定于平臺的指導(dǎo)
- 無論使用什么平臺,以下步驟都可以應(yīng)用于網(wǎng)絡(luò)中。但是,有關(guān)特定平臺的指導(dǎo),有移動設(shè)備安全集合。
- 要了解有關(guān)企業(yè)環(huán)境中的橫向移動(在本例中使用 Windows 基礎(chǔ)設(shè)施)的更多信息 。
什么是橫向運(yùn)動?
攻擊者在網(wǎng)絡(luò)中獲得初步立足點(diǎn)后,他們通常會尋求擴(kuò)大和鞏固該立足點(diǎn),同時(shí)進(jìn)一步訪問有價(jià)值的數(shù)據(jù)或系統(tǒng)。這種活動稱為橫向運(yùn)動。
在主機(jī)最初受到攻擊后,橫向移動的第一步是對網(wǎng)絡(luò)進(jìn)行內(nèi)部偵察。這讓攻擊者了解他們在網(wǎng)絡(luò)中的位置及其整體結(jié)構(gòu)。為了鞏固其存在并保持持久性,攻擊者通常會嘗試危害其他主機(jī)并升級其權(quán)限,最終獲得對其目標(biāo)(例如域控制器、關(guān)鍵系統(tǒng)或敏感數(shù)據(jù))的控制。
攻擊者收集的任何憑據(jù)都將使他們(看起來是)合法訪問更多主機(jī)和服務(wù)器。一旦達(dá)到目標(biāo),數(shù)據(jù)就可能被泄露,或者系統(tǒng)和設(shè)備可能被破壞。
為什么要防止橫向移動?
NCSC 的惡意軟件緩解指南中建議的安全控制 可以降低初始攻擊成功的風(fēng)險(xiǎn)。 但是,您應(yīng)該 假設(shè)擁有足夠時(shí)間和資源的攻擊者最終會成功。 因此,重要的是:
- 盡快發(fā)現(xiàn)違規(guī)行為
- 實(shí)施內(nèi)部安全控制,以減少攻擊者在違規(guī)后造成的損害
具有強(qiáng)大邊界保護(hù)但沒有內(nèi)部安全性的網(wǎng)絡(luò)使攻擊者在獲得訪問權(quán)限后可以自由地穿越網(wǎng)絡(luò)。他們能夠立足的時(shí)間越長,實(shí)現(xiàn)目標(biāo)的機(jī)會就會越大。
保護(hù)組織
應(yīng)用以下保護(hù)措施將贏得時(shí)間,并更容易檢測橫向移動的嘗試。
1. 保護(hù)憑證
網(wǎng)絡(luò)上的所有憑據(jù),尤其是管理員帳戶的憑據(jù),都應(yīng)得到充分保護(hù),以防止攻擊者使用它們來訪問設(shè)備和系統(tǒng)。
一種常見的攻擊類型涉及竊取安全令牌以訪問另一臺設(shè)備或服務(wù)器。“傳遞哈希值”就是一個(gè)例子,其中使用竊取的哈希值來驗(yàn)證攻擊者的身份。用戶或系統(tǒng)不應(yīng)以純文本形式存儲密碼,并且應(yīng)保護(hù)密碼哈希值以防止攻擊者輕松訪問它們。
用于對設(shè)備進(jìn)行身份驗(yàn)證的憑據(jù)(以及用于對服務(wù)進(jìn)行身份驗(yàn)證的憑據(jù))都需要受到設(shè)備的保護(hù)。支持硬件支持的憑證存儲的設(shè)備將更好地保護(hù)這些憑證。除批準(zhǔn)用于工作用途的設(shè)備外,不應(yīng)將工作憑證輸入任何其他設(shè)備,因?yàn)檫@些設(shè)備可能無法充分保護(hù)憑證。
總之:
- 不要以純文本形式存儲密碼,并確保密碼哈希值存儲在受保護(hù)的區(qū)域中。
- 盡可能使用具有硬件支持的憑據(jù)存儲的設(shè)備。
- 僅在已批準(zhǔn)用于工作用途的設(shè)備和服務(wù)上使用工作憑據(jù)。
2. 部署良好的身份驗(yàn)證實(shí)踐
身份驗(yàn)證對于用戶來說應(yīng)該很容易,但攻擊者很難獲得訪問權(quán)限。請遵循 NCSC 密碼指南 ,以確保策略遵循最佳實(shí)踐。例如,不要在不同的系統(tǒng)中重復(fù)使用密碼,并考慮在組織中使用 密碼管理器。這將限制以純文本形式存儲憑據(jù)的用戶數(shù)量。
如果尚未獲取憑據(jù),登錄限制(例如密碼鎖定和限制)會減少攻擊者與主機(jī)進(jìn)行身份驗(yàn)證的機(jī)會。確保單個(gè)賬戶無法授予對企業(yè)內(nèi)所有設(shè)備和組件的訪問權(quán)限,特別是當(dāng)這些賬戶具有特權(quán)時(shí)。
面向互聯(lián)網(wǎng)的服務(wù)應(yīng)使用多重身份驗(yàn)證 (MFA),以對抗暴力破解和密碼猜測攻擊。MFA 還可以用作惡意軟件無法遠(yuǎn)程使用的高權(quán)限設(shè)備上的物理獨(dú)立因素。
單點(diǎn)登錄 (SSO) 可用于限制使用的密碼數(shù)量并減少密碼被盜的可能性。我們還鼓勵(lì)使用替代技術(shù)身份驗(yàn)證方法,例如生物識別、一次性登錄鏈接(魔術(shù)鏈接)、智能卡和硬件支持的 PIN。
總之:
- 遵循 NCSC 密碼指南,不要在不同系統(tǒng)中重復(fù)使用密碼。
- 考慮在組織中使用密碼管理器。
- 啟用登錄限制/限制。
- 對面向互聯(lián)網(wǎng)的服務(wù)和高風(fēng)險(xiǎn)帳戶使用多重身份驗(yàn)證。
- 盡可能使用密碼的替代身份驗(yàn)證方法。
3.保護(hù)高權(quán)限賬戶
本地和域管理賬戶(可以訪問大多數(shù)系統(tǒng)和數(shù)據(jù))是網(wǎng)絡(luò)中的強(qiáng)大工具。它們的使用應(yīng)受到嚴(yán)格控制和鎖定。
管理員應(yīng)使用單獨(dú)的賬戶;一個(gè)用于日常業(yè)務(wù)使用(例如網(wǎng)頁瀏覽和電子郵件),另一個(gè)是僅應(yīng)在單獨(dú)的管理設(shè)備上使用的特權(quán)管理員帳戶。這降低了受感染設(shè)備被用于管理目的的風(fēng)險(xiǎn)。
應(yīng)阻止管理員賬戶瀏覽網(wǎng)頁和訪問電子郵件,并且僅在任務(wù)需要提升權(quán)限時(shí)使用。
總之:
- 管理員應(yīng)使用普通賬戶進(jìn)行正常用戶活動,并僅使用單獨(dú)的管理員帳戶進(jìn)行管理員活動。
- 如果可能,請為普通賬戶和管理員帳戶使用單獨(dú)的設(shè)備。如果沒有, 請考慮使用“向下瀏覽”方法。
- 鎖定管理員賬戶以防止瀏覽網(wǎng)頁和訪問電子郵件等高風(fēng)險(xiǎn)操作。
4.應(yīng)用最小權(quán)限原則
應(yīng)盡可能實(shí)施“最小權(quán)限”原則(賬戶和用戶擁有執(zhí)行其角色所需的最小訪問權(quán)限)。管理帳戶的分層模型確保它們只能訪問所需的特定管理功能,而不是全部。使用各種級別的管理賬戶可以限制正在使用的極高特權(quán)賬戶的數(shù)量,并且如果較低特權(quán)的管理員賬戶受到威脅,則可以減少攻擊者獲得的訪問權(quán)限。
通常不應(yīng) 使用在整個(gè)企業(yè)中具有完全權(quán)限的賬戶(例如域管理員、全局管理員或云管理員賬戶) 。雖然某些任務(wù)(例如最初構(gòu)建網(wǎng)絡(luò)、執(zhí)行升級、創(chuàng)建新的特權(quán)帳戶或?yàn)?zāi)難恢復(fù))需要它們,但大多數(shù)其他任務(wù)應(yīng)使用較低層的管理賬戶。
使用基于時(shí)間的特權(quán)訪問可以幫助減少管理員憑據(jù)泄露的影響,特別是因?yàn)槊看斡脩粽埱蠡蚪邮账鼤r(shí)都會對其進(jìn)行審核。識別高風(fēng)險(xiǎn)設(shè)備、服務(wù)和用戶可以幫助規(guī)劃授予的權(quán)限,確保風(fēng)險(xiǎn)最高的人擁有最低的權(quán)限。
總之:
- 對管理賬戶使用分層模型,以便它們沒有任何不必要的訪問或特權(quán)。
- 僅在絕對必要時(shí)才使用在整個(gè)企業(yè)中具有完全權(quán)限的賬戶。
- 考慮使用基于時(shí)間的權(quán)限來進(jìn)一步限制其使用。
- 識別高風(fēng)險(xiǎn)設(shè)備、服務(wù)和用戶,以盡量減少他們的訪問。
5. 鎖定設(shè)備
屬于網(wǎng)絡(luò)一部分的任何設(shè)備或系統(tǒng)(即使是那些沒有直接連接到互聯(lián)網(wǎng)的設(shè)備或系統(tǒng))都可能成為攻擊橫向移動階段的目標(biāo)。所有設(shè)備應(yīng)保持最新狀態(tài),并盡快部署最新補(bǔ)丁。自動更新也可用于簡化此過程,盡管確保冗余設(shè)備對在不同時(shí)間更新以保持冗余非常重要。
應(yīng)按照 NCSC 移動設(shè)備指南安全地配置端點(diǎn)。如果可能,應(yīng)將應(yīng)用程序列入允許列表,以便只有經(jīng)過批準(zhǔn)的應(yīng)用程序才能運(yùn)行。這也可以通過使用僅允許安裝和運(yùn)行來自受信任來源的應(yīng)用程序的體系結(jié)構(gòu)來完成。
除了網(wǎng)絡(luò)邊界上的防火墻之外, 還應(yīng)啟用主機(jī)上的本地防火墻以限制不必要的入站和出站流量。默認(rèn)情況下,防火墻應(yīng)阻止所有入站連接(例如 SMB)并僅允許您需要的連接。應(yīng)定期審查批準(zhǔn)的連接列表,以刪除不再需要的連接。
應(yīng)盡可能啟用安全啟動機(jī)制,以確保設(shè)備上啟動過程的完整性,并增加攻擊者獲得設(shè)備持久性的難度。
最后,請遵循宏安全指南 以降低惡意宏的風(fēng)險(xiǎn)。
總之:
- 補(bǔ)丁發(fā)布后立即應(yīng)用到所有設(shè)備,并盡可能使用自動更新。
- 使用允許列表來控制和限制應(yīng)用程序的使用。
- 遵循宏觀安全指導(dǎo)。
- 在主機(jī)上啟用本地防火墻。
- 如果可用,請使用安全啟動機(jī)制。
- 請遵循移動設(shè)備指南。
6. 將網(wǎng)絡(luò)劃分為集合
網(wǎng)絡(luò)分段(或隔離)涉及將網(wǎng)絡(luò)分成不同的網(wǎng)段。這極大地增加了攻擊者進(jìn)入網(wǎng)絡(luò)后達(dá)到其目標(biāo)的難度,因?yàn)樗麄兊娜肟邳c(diǎn)可能沒有任何手段到達(dá)目標(biāo)數(shù)據(jù)或系統(tǒng)。
不需要相互通信或交互的系統(tǒng)和數(shù)據(jù)應(yīng)該被分成不同的網(wǎng)段,并且只允許用戶訪問需要的網(wǎng)段。正如我們的網(wǎng)絡(luò)安全指南中所述 ,“將網(wǎng)絡(luò)按集合隔離:識別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng),并對它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制。”
這些安全控制措施應(yīng)確保源自網(wǎng)絡(luò)邊界內(nèi)的所有數(shù)據(jù)和連接不會自動受到信任。ISO 27001 和 27002 標(biāo)準(zhǔn)提供了有關(guān)網(wǎng)絡(luò)分段的一些見解以及在網(wǎng)絡(luò)中實(shí)施此分段的最佳實(shí)踐。
總之
- 將網(wǎng)絡(luò)按組隔離:識別、分組和隔離關(guān)鍵業(yè)務(wù)系統(tǒng),并對它們應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制。
7. 監(jiān)控網(wǎng)絡(luò)
監(jiān)控網(wǎng)絡(luò)是否存在任何可能令人感興趣的安全事件至關(guān)重要。隨著新漏洞的不斷發(fā)現(xiàn),無論您的網(wǎng)絡(luò)保護(hù)得有多好,堅(jiān)定的攻擊者最終都會獲得訪問權(quán)限。一旦發(fā)生這種情況,監(jiān)控網(wǎng)絡(luò)是識別違規(guī)行為并做出反應(yīng)的唯一方法。我們的“網(wǎng)絡(luò)安全 10 個(gè)步驟”中的網(wǎng)絡(luò) 監(jiān)控 部分提供了一個(gè)起點(diǎn),我們的安全運(yùn)營中心 (SOC) 買家指南 提供了有關(guān)監(jiān)控過程以及要尋找的內(nèi)容的更多詳細(xì)信息。
監(jiān)控的基礎(chǔ)是記錄和存儲潛在有趣的安全事件的日志。然后,系統(tǒng)可以分析這些日志并查找可能表明攻擊者已破壞您的網(wǎng)絡(luò)的可疑行為,并向責(zé)任人員發(fā)出警報(bào)。您應(yīng)該在網(wǎng)絡(luò)使用的系統(tǒng)和技術(shù)(例如防火墻和其他網(wǎng)絡(luò)架構(gòu)上的系統(tǒng)和技術(shù))中啟用任何日志記錄和安全審核功能,以及操作系統(tǒng)內(nèi)的日志記錄。
了解網(wǎng)絡(luò)中高價(jià)值資產(chǎn)的位置使您能夠提供更詳細(xì)、更敏感的警報(bào)。除了各種用戶和帳戶之外,高價(jià)值資產(chǎn)還可以包括網(wǎng)絡(luò)中的重要服務(wù)和服務(wù)器(例如域控制器)。一些著名的用戶包括:
- 特權(quán)用戶(由于他們擁有的訪問權(quán)限)
- 董事會賬戶(由于其中可能包含信息)
- 社交媒體賬戶(如果受到威脅,可能會造成聲譽(yù)受損)
應(yīng)該熟悉整個(gè)網(wǎng)絡(luò),包括其結(jié)構(gòu)及其使用方式。對所有可以連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行審核,并定期更新以幫助識別非法使用。不尋常的活動可能出現(xiàn)在網(wǎng)絡(luò)協(xié)議層上,但也可能出現(xiàn)在特定于應(yīng)用程序的情況下,例如憑證使用和身份驗(yàn)證事件。
攻擊者會嘗試使用合法的工具和系統(tǒng)混入您平常的網(wǎng)絡(luò)流量進(jìn)行橫向移動,這意味著它經(jīng)常被典型的反病毒軟件所忽視,并且更難以發(fā)現(xiàn)。了解攻擊者可能使用的常見工具和流程將大大增加您識別它們的機(jī)會。
網(wǎng)絡(luò)監(jiān)控的最大挑戰(zhàn)是識別真正的安全事件,而不是網(wǎng)絡(luò)中存在的大量“噪音”中常見的誤報(bào)。了解您的網(wǎng)絡(luò)及其用戶的典型行為可以幫助減輕誤報(bào)問題,因?yàn)槟鷷兊酶由朴诎l(fā)現(xiàn)異常活動。通過對網(wǎng)絡(luò)進(jìn)行分段,您有機(jī)會重點(diǎn)監(jiān)控網(wǎng)段之間創(chuàng)建的流量焦點(diǎn)。
總之:
- 請遵循我們的 網(wǎng)絡(luò)監(jiān)控 和 安全運(yùn)營中心 (SOC) 買家指南出版物。
- 啟用系統(tǒng)上的任何日志記錄和審核功能,并使用它們來檢測異常活動。
- 對可以連接到網(wǎng)絡(luò)的所有設(shè)備進(jìn)行審核或記錄,并了解高價(jià)值資產(chǎn)。
- 了解并熟悉網(wǎng)絡(luò)及其通常的使用方式。
8.考慮使用蜜罐
蜜罐是專門為了受到攻擊而設(shè)置的系統(tǒng)。
在網(wǎng)絡(luò)內(nèi)部設(shè)置的生產(chǎn) 蜜罐作為真實(shí)系統(tǒng)的誘餌,可以成為檢測網(wǎng)絡(luò)入侵的寶貴工具。由于蜜罐不是網(wǎng)絡(luò)上的合法系統(tǒng)(并且不包含真實(shí)數(shù)據(jù)或服務(wù)),因此意外連接可以被認(rèn)為是惡意活動(因?yàn)檎嬲挠脩舨恍枰L問蜜罐)。如果您檢測到與蜜罐的交互,應(yīng)立即進(jìn)行調(diào)查。生產(chǎn)蜜罐應(yīng)用于補(bǔ)充網(wǎng)絡(luò)監(jiān)控和其他入侵檢測技術(shù)。
研究蜜罐不會直接使網(wǎng)絡(luò)受益,但其目的是收集有關(guān)攻擊者使用的最新技術(shù)的信息。
使用蜜罐確實(shí)會帶來一些風(fēng)險(xiǎn)。研究蜜罐本質(zhì)上是有風(fēng)險(xiǎn)的,因?yàn)樗鼈児膭?lì)攻擊者與其交互。生產(chǎn)蜜罐的風(fēng)險(xiǎn)較小,但仍然會給組織帶來一些風(fēng)險(xiǎn),具體取決于其復(fù)雜程度。例如,它們可能被利用并用作平臺,在橫向移動期間對網(wǎng)絡(luò)中的合法系統(tǒng)發(fā)起攻擊。
由于這些原因,只有在評估了不正確實(shí)施的影響并且組織擁有相關(guān)專業(yè)知識的情況下才應(yīng)使用蜜罐。
總之:
- 考慮在組織中使用生產(chǎn)蜜罐,前提是擁有這樣做的專業(yè)知識并了解所涉及的風(fēng)險(xiǎn)。
