目前，橫向移動（lateral movement）已成為需要留意的主要威脅之一。成功的橫向移動攻擊可以使攻擊者闖入用戶現(xiàn)有系統(tǒng)，并訪問系統(tǒng)資源。

　　橫向移動攻擊充分體現(xiàn)了“網絡安全鏈的強度完全取決于最薄弱的那一環(huán)”這一觀點。高級持續(xù)性威脅（APT）是橫向移動帶來的最常見網絡攻擊類型。如果網絡有足夠多未加保護的漏洞，只要有足夠的時間，黑客最終就可以訪問域控制器本身，進而可以攻擊企業(yè)的整套數字基礎設施，包括根賬戶。

　　橫向移動的攻擊模式

　　橫向移動攻擊的特點是，黑客利用在某個點非法獲取的網絡訪問權，收集系統(tǒng)其他部分的信息并實施攻擊活動。這包括訪問額外的憑據、利用配置不當的功能以及鉆軟件漏洞的空子等。如果沒有適當的預防措施，黑客獲取網絡中某個點的訪問權后，就能訪問另外幾個點。

　　實施橫向移動的黑客通常采用以下幾步：

　　1. 偵察：這一步是指不法分子找出目標。在這一環(huán)節(jié)，黑客可能會調查外部網絡、社交媒體活動和任何存儲的憑據。所謂的“憑據轉儲”（credential dump）使黑客能夠滲入到組織的電子郵件賬戶或虛擬專用網（VPN）。

　　2. 滲透：初始掃描和探測可讓黑客找到一條或多條潛在的攻擊途徑。一旦發(fā)現(xiàn)薄弱環(huán)節(jié)，不法分子會企圖用它來訪問其他易受攻擊的賬戶和硬件。這時候“橫向運動”就會發(fā)生。一個不安全的漏洞可以讓不法分子訪問組織的整個網絡。

　　3. 漏洞研究：訪問低級賬戶可帶來關于操作系統(tǒng)、網絡組織及層次結構以及數字資產位置的大量信息。黑客可以利用IPConfig、ARP緩存和Netstat等操作系統(tǒng)實用工具來收集有關攻擊目標數字環(huán)境的其他信息。

　　4. 額外的憑據和訪問權竊?。汉诳褪褂眠@一級訪問權來擴大目標網絡的控制權。擊鍵記錄程序、網絡釣魚嘗試和網絡嗅探器等工具，可以使用一個受感染的IT區(qū)域收集另一個IT區(qū)域的信息。這使得攻擊者所控制的范圍不斷擴大。

　　5. 進一步的系統(tǒng)入侵：這時候“高級持續(xù)性威脅”發(fā)揮威力。如果有足夠的權限，攻擊者可以不間斷地訪問這些受感染資產，并可以使用PowerShell和遠程桌面軟件等控制類應用軟件，繼續(xù)發(fā)動攻擊。這些持續(xù)性威脅可以借助加密等手段不被發(fā)現(xiàn)。

　　防御橫向移動攻擊

　　組織可以采取適當的措施，保護網絡安全鏈中最薄弱的環(huán)節(jié)，并防止橫向移動攻擊。以下是防御橫向移動攻擊的有效方法和措施。

　　1. 最小權限原則

　　最小權限原則是指，組織中的每個成員只有權使用憑據來訪問處理日常工作所需的系統(tǒng)和應用程序。例如：只有IT人員才擁有管理權限。

　　2. 白名單和審查

　　組織應列出已知安全的應用程序白名單，并列出已知有漏洞的應用程序黑名單。審查和評估所有新的應用程序必不可少。如果請求的新應用程序提供另一個應用程序已經具備的功能，應使用經過審查的應用程序，而不是新的應用程序。

　　3. AI和EDR安全

　　端點檢測和響應（EDR）是監(jiān)測端點、標記可疑事件的典型解決方案。使用EDR工具收集的數據并訓練基于AI的網絡安全軟件，以留意未經授權的訪問及可能存在惡意網絡活動的其他異常行為。

　　4. 密碼安全

　　在網上開展業(yè)務的任何組織都必須指導員工及相關人員確保做好密碼安全工作。這意味著不得在多個網站或賬戶上重復使用同一密碼，定期更改密碼。

　　5. 雙因子驗證

　　雙因子驗證（2FA）又叫多因子驗證（MFA），是另一種對付橫向移動攻擊的基本而必要的手段。使用2FA之后，如果一組訪問憑據泄密，黑客要想進一步行動就需要訪問第二個設備來驗證其訪問權限。

　　橫向移動是現(xiàn)代網絡攻擊的一個重要部分。它充分利用了不安全的低級網絡資產，并鉆了賬戶保護不力的空子。上述這些方法對于加強組織的網絡安全防御能力應該大有助益。