希望对组织发起勒索软件攻击的威胁行为者能够使用被盗的凭据进入用户的电子邮件帐户。利用鱼叉式网络钓鱼技术和侦察，威胁行为者向 IT 部门发送电子邮件，要求提供重要网络应用程序的凭据。他们获得凭据，深入网络，并开始发起勒索软件攻击。

这就是横向运动的作用。这对于重大网络攻击的成功至关重要，一旦发生就很难检测和阻止。这一举动（在本例中是向 IT 发送电子邮件并进入不同的应用程序）看起来是合法的。有了正确的凭据，接下来的动作将显示为正常的网络活动。在计算机屏幕上出现赎金字条之前，该组织可能不知道发生了什么。

在当今日益增长的威胁形势下，了解什么是横向移动、横向移动如何发生以及如何防止横向移动对于组织的网络安全态势至关重要，威胁行为者将同时使用所有可用的工具潜入组织的网络并造成严重破坏。

什么是横向运动

横向移动包括威胁行为者在目标环境中移动以实现其网络攻击目标的策略。实现初始访问后，威胁行为者通常需要进入系统的不同部分或深入系统以窃取数据或执行另一种攻击。

许多类型的网络攻击都利用横向移动，事实上，简单的攻击（例如网络钓鱼诈骗）可能只是利用横向移动来实现某些目标的更复杂攻击的前兆。此类攻击包括勒索软件、僵尸网络攻击、数据泄露和网络间谍活动。

横向运动如何工作

常见的横向运动技术包括：

• 远程服务的利用
• 内部鱼叉式网络钓鱼
• 横向刀具传输
• 远程劫持
• 远程桌面协议
• 云服务登录
• 应用程序访问令牌

该列表并不详尽，但强调了攻击者可以摇动各个门上的锁并在进入房屋后开始探索的方式。

威胁行为者可以通过多种方式在网络内实现横向移动。关键在于他们拥有什么工具，可以访问什么，以及什么是最有效的并提供最大的覆盖范围，这样他们就不会被组织的网络安全架构检测到。

威胁行为者利用这种技术的一个主要原因是，一旦发生这种情况，组织就很难检测到。横向移动利用所谓的“东/西”流量，这种流量在网络内通常被认为是普通的。用户可以检查他们的电子邮件，然后登录基于云的应用程序，然后可能查看某些资产等。而“北/南”流量（例如，进出网络的流量）很可能是通过防火墙和端点检测工具检测到，一旦威胁行为者进入，他们就可以在没有通知的情况下移动。想象一下，一名犯罪分子偷走了赌场员工的徽章，以初步进入安全区域，然后通过赌场的通风口爬行，以在安全摄像头和工作人员向目标（金库室）移动时保持不被监控的状态，从而继续抢劫。

横向移动与权限升级 

虽然权限升级可以在网络攻击期间用作横向移动技术，但重要的是要注意这两个术语不可互换。权限升级通常是垂直的，仅指用户对应用程序、资产或网络的访问权限以及访问权限的增长方式。威胁行为者在攻击期间可以为自己提供更多访问权限，特别是获得凭证以访问环境的另一部分，但策略本身并不是横向移动。

然而，横向移动可以称为水平权限升级，因为随着黑客的移动，他们对环境的访问权限将会水平增加。

如何检测和防止横向移动

横向移动的主要防御措施是在横向移动发生之前尝试识别并遏制攻击。然而，由于多种原因，这可能很困难，包括攻击者可以利用许多初始接入点，并且停留时间（攻击者在采取行动之前在网络中停留的时间）逐年缩短。

发生横向移动之前的这个时间范围称为“突破时间”，在此窗口内停止攻击可以降低成本、影响以及潜在的业务中断或停机时间。这也可能是一次事件和一次成功的勒索软件攻击之间的区别。

检测和停止横向移动的两种主要方法是：

• 环境实时监控。高级监控解决方案，例如托管检测和响应 (MDR)，可以检测异常活动（例如用户登录到他们通常不登录的应用程序）、应用程序内的规则更改或单个用户在整个网络中的突然移动。环境。组织可以监控活动并将其映射回上述技术，以检测类似于横向移动的行为模式。
• 行为分析。这就是监控转变为调查的地方。看到“用户做了 x 然后 y 然后 z”是一回事，而软件和人类分析师确定该行为可能可疑或可能符合常见的横向移动技术则是另一回事。

防止横向移动是网络安全的重要组成部分。威胁行为者不希望被检测到并希望高效工作。如果他们无法在环境中做出动作，就会减轻事件的影响。例如，难以利用的被盗凭据可能会阻止攻击者继续攻击，特别是当有其他组织作为目标时，并且继续这种更具挑战性的攻击将延长他们的突破时间。这些预防措施包括：

• 利用网络隔离和网络分段。这会切断网络的各个部分，从而防止威胁行为者扩大其范围或在网络内部采取行动。
• 采用漏洞管理。威胁行为者经常利用漏洞不仅用于初始访问，还用于横向移动以获取对各种应用程序的访问权限。适当的修补和强大的漏洞管理程序将在这些漏洞被利用之前弥补它们。
• 实施零信任。 零信任消除了所有显式访问，并确保用户必须验证自己才能访问任何资产或应用程序。这将阻止攻击者，即使他们有凭据，因为他们将无法验证自己。即使是这样，迎接他们的也会是更多上锁的门和更多试图破解的组合。这个想法不仅是为了减少对有价值的应用程序和资产的暴露，而且是减缓这些威胁行为者的速度，直到他们放弃或被发现。
• 依托24×7的监控检测解决方案。如上所述，监控很重要，但如果它无法检测和关联环境中的不同事件，则可能无法阻止攻击升级。通过使用 MDR 解决方案，例如Arctic Wolf® 托管检测和响应，您的组织可以覆盖多个基地，并且可以放心，如果发生事件，检测、分析和可能的升级将迅速发生，以防止任何横向移动。