背景

今天面试，面试官问到了这一个问题，云主机被getshell了，进行了横向移动，如何进行阻止以及防范？当时回答了两个点：通过防火墙出入站策略设置黑名单、EDR设备拦截；面试官问还有吗(当时还想着回答纵深防御，觉得太泛泛就没有说出来)，我内心：……；
但是我遇到的几个场景大部分是公司旁站被打穿之后，就直接把上面的业务下线了……(确实可以防范横向移动)

总结

大部分都是日常防范措施

EDR设备监测 (这里以奇安信网神云锁为例)

使用EDR工具收集的数据并训练基于AI的网络安全软件，以留意未经授权的访问及可能存在恶意网络活动的其他异常行为，做公司内网资产管理，主要功能包括：
行为管理-服务行为：梳理对外服务进程及其子进程进行的命令执行，文件创建，网络外联行为，用户通过验证行为清单后，可开启告警模式实现服务行为白名单，但出现新增行为时将立即产生告警事件通知用户
风险发现-弱口令：很多横向移动的方式都是通过弱口令，已经口令复用(多账号使用同一个口令)进行传递的，EDR可以尝试爆破进行检测是否有弱口令的风险
风险发现-历史漏洞：通过集中管理、周期性扫描，从多个维度对目标服务器进行脆弱性扫描和整体评估分析，使用nDay进行模糊测试
系统防护-文件监控与防护：对受保护文件违反规则的进行拦截。可以对监控文件进行读取、写入、删除、创建、执行、链接、重命名的操作行为，并记录日志到日志分析
全局设置-IP黑白名单：这里通俗易懂就是拉黑ip操作

日后学会了其他防御方式再回来补