防止企业网络横向移动的指南。
本指南解释了系统所有者如何防止和检测其企业网络内的横向移动。它将帮助:
- 提高发现入侵者的机会
- 增加攻击者进入网络后达到目标的难度
实施下述建议的安全控制措施(包括监测以检测横向移动的早期阶段)可以减少严重损坏的可能性。
特定于平台的指导
- 无论使用什么平台,以下步骤都可以应用于网络中。但是,有关特定平台的指导,有移动设备安全集合。
- 要了解有关企业环境中的横向移动(在本例中使用 Windows 基础设施)的更多信息 。
什么是横向运动?
攻击者在网络中获得初步立足点后,他们通常会寻求扩大和巩固该立足点,同时进一步访问有价值的数据或系统。这种活动称为横向运动。
在主机最初受到攻击后,横向移动的第一步是对网络进行内部侦察。这让攻击者了解他们在网络中的位置及其整体结构。为了巩固其存在并保持持久性,攻击者通常会尝试危害其他主机并升级其权限,最终获得对其目标(例如域控制器、关键系统或敏感数据)的控制。
攻击者收集的任何凭据都将使他们(看起来是)合法访问更多主机和服务器。一旦达到目标,数据就可能被泄露,或者系统和设备可能被破坏。
为什么要防止横向移动?
NCSC 的恶意软件缓解指南中建议的安全控制 可以降低初始攻击成功的风险。 但是,您应该 假设拥有足够时间和资源的攻击者最终会成功。 因此,重要的是:
- 尽快发现违规行为
- 实施内部安全控制,以减少攻击者在违规后造成的损害
具有强大边界保护但没有内部安全性的网络使攻击者在获得访问权限后可以自由地穿越网络。他们能够立足的时间越长,实现目标的机会就会越大。
保护组织
应用以下保护措施将赢得时间,并更容易检测横向移动的尝试。
1. 保护凭证
网络上的所有凭据,尤其是管理员帐户的凭据,都应得到充分保护,以防止攻击者使用它们来访问设备和系统。
一种常见的攻击类型涉及窃取安全令牌以访问另一台设备或服务器。“传递哈希值”就是一个例子,其中使用窃取的哈希值来验证攻击者的身份。用户或系统不应以纯文本形式存储密码,并且应保护密码哈希值以防止攻击者轻松访问它们。
用于对设备进行身份验证的凭据(以及用于对服务进行身份验证的凭据)都需要受到设备的保护。支持硬件支持的凭证存储的设备将更好地保护这些凭证。除批准用于工作用途的设备外,不应将工作凭证输入任何其他设备,因为这些设备可能无法充分保护凭证。
总之:
- 不要以纯文本形式存储密码,并确保密码哈希值存储在受保护的区域中。
- 尽可能使用具有硬件支持的凭据存储的设备。
- 仅在已批准用于工作用途的设备和服务上使用工作凭据。
2. 部署良好的身份验证实践
身份验证对于用户来说应该很容易,但攻击者很难获得访问权限。请遵循 NCSC 密码指南 ,以确保策略遵循最佳实践。例如,不要在不同的系统中重复使用密码,并考虑在组织中使用 密码管理器。这将限制以纯文本形式存储凭据的用户数量。
如果尚未获取凭据,登录限制(例如密码锁定和限制)会减少攻击者与主机进行身份验证的机会。确保单个账户无法授予对企业内所有设备和组件的访问权限,特别是当这些账户具有特权时。
面向互联网的服务应使用多重身份验证 (MFA),以对抗暴力破解和密码猜测攻击。MFA 还可以用作恶意软件无法远程使用的高权限设备上的物理独立因素。
单点登录 (SSO) 可用于限制使用的密码数量并减少密码被盗的可能性。我们还鼓励使用替代技术身份验证方法,例如生物识别、一次性登录链接(魔术链接)、智能卡和硬件支持的 PIN。
总之:
- 遵循 NCSC 密码指南,不要在不同系统中重复使用密码。
- 考虑在组织中使用密码管理器。
- 启用登录限制/限制。
- 对面向互联网的服务和高风险帐户使用多重身份验证。
- 尽可能使用密码的替代身份验证方法。
3.保护高权限账户
本地和域管理账户(可以访问大多数系统和数据)是网络中的强大工具。它们的使用应受到严格控制和锁定。
管理员应使用单独的账户;一个用于日常业务使用(例如网页浏览和电子邮件),另一个是仅应在单独的管理设备上使用的特权管理员帐户。这降低了受感染设备被用于管理目的的风险。
应阻止管理员账户浏览网页和访问电子邮件,并且仅在任务需要提升权限时使用。
总之:
- 管理员应使用普通账户进行正常用户活动,并仅使用单独的管理员帐户进行管理员活动。
- 如果可能,请为普通账户和管理员帐户使用单独的设备。如果没有, 请考虑使用“向下浏览”方法。
- 锁定管理员账户以防止浏览网页和访问电子邮件等高风险操作。
4.应用最小权限原则
应尽可能实施“最小权限”原则(账户和用户拥有执行其角色所需的最小访问权限)。管理帐户的分层模型确保它们只能访问所需的特定管理功能,而不是全部。使用各种级别的管理账户可以限制正在使用的极高特权账户的数量,并且如果较低特权的管理员账户受到威胁,则可以减少攻击者获得的访问权限。
通常不应 使用在整个企业中具有完全权限的账户(例如域管理员、全局管理员或云管理员账户) 。虽然某些任务(例如最初构建网络、执行升级、创建新的特权帐户或灾难恢复)需要它们,但大多数其他任务应使用较低层的管理账户。
使用基于时间的特权访问可以帮助减少管理员凭据泄露的影响,特别是因为每次用户请求或接收它时都会对其进行审核。识别高风险设备、服务和用户可以帮助规划授予的权限,确保风险最高的人拥有最低的权限。
总之:
- 对管理账户使用分层模型,以便它们没有任何不必要的访问或特权。
- 仅在绝对必要时才使用在整个企业中具有完全权限的账户。
- 考虑使用基于时间的权限来进一步限制其使用。
- 识别高风险设备、服务和用户,以尽量减少他们的访问。
5. 锁定设备
属于网络一部分的任何设备或系统(即使是那些没有直接连接到互联网的设备或系统)都可能成为攻击横向移动阶段的目标。所有设备应保持最新状态,并尽快部署最新补丁。自动更新也可用于简化此过程,尽管确保冗余设备对在不同时间更新以保持冗余非常重要。
应按照 NCSC 移动设备指南安全地配置端点。如果可能,应将应用程序列入允许列表,以便只有经过批准的应用程序才能运行。这也可以通过使用仅允许安装和运行来自受信任来源的应用程序的体系结构来完成。
除了网络边界上的防火墙之外, 还应启用主机上的本地防火墙以限制不必要的入站和出站流量。默认情况下,防火墙应阻止所有入站连接(例如 SMB)并仅允许您需要的连接。应定期审查批准的连接列表,以删除不再需要的连接。
应尽可能启用安全启动机制,以确保设备上启动过程的完整性,并增加攻击者获得设备持久性的难度。
最后,请遵循宏安全指南 以降低恶意宏的风险。
总之:
- 补丁发布后立即应用到所有设备,并尽可能使用自动更新。
- 使用允许列表来控制和限制应用程序的使用。
- 遵循宏观安全指导。
- 在主机上启用本地防火墙。
- 如果可用,请使用安全启动机制。
- 请遵循移动设备指南。
6. 将网络划分为集合
网络分段(或隔离)涉及将网络分成不同的网段。这极大地增加了攻击者进入网络后达到其目标的难度,因为他们的入口点可能没有任何手段到达目标数据或系统。
不需要相互通信或交互的系统和数据应该被分成不同的网段,并且只允许用户访问需要的网段。正如我们的网络安全指南中所述 ,“将网络按集合隔离:识别、分组和隔离关键业务系统,并对它们应用适当的网络安全控制。”
这些安全控制措施应确保源自网络边界内的所有数据和连接不会自动受到信任。ISO 27001 和 27002 标准提供了有关网络分段的一些见解以及在网络中实施此分段的最佳实践。
总之
- 将网络按组隔离:识别、分组和隔离关键业务系统,并对它们应用适当的网络安全控制。
7. 监控网络
监控网络是否存在任何可能令人感兴趣的安全事件至关重要。随着新漏洞的不断发现,无论您的网络保护得有多好,坚定的攻击者最终都会获得访问权限。一旦发生这种情况,监控网络是识别违规行为并做出反应的唯一方法。我们的“网络安全 10 个步骤”中的网络 监控 部分提供了一个起点,我们的安全运营中心 (SOC) 买家指南 提供了有关监控过程以及要寻找的内容的更多详细信息。
监控的基础是记录和存储潜在有趣的安全事件的日志。然后,系统可以分析这些日志并查找可能表明攻击者已破坏您的网络的可疑行为,并向责任人员发出警报。您应该在网络使用的系统和技术(例如防火墙和其他网络架构上的系统和技术)中启用任何日志记录和安全审核功能,以及操作系统内的日志记录。
了解网络中高价值资产的位置使您能够提供更详细、更敏感的警报。除了各种用户和帐户之外,高价值资产还可以包括网络中的重要服务和服务器(例如域控制器)。一些著名的用户包括:
- 特权用户(由于他们拥有的访问权限)
- 董事会账户(由于其中可能包含信息)
- 社交媒体账户(如果受到威胁,可能会造成声誉受损)
应该熟悉整个网络,包括其结构及其使用方式。对所有可以连接到网络的设备进行审核,并定期更新以帮助识别非法使用。不寻常的活动可能出现在网络协议层上,但也可能出现在特定于应用程序的情况下,例如凭证使用和身份验证事件。
攻击者会尝试使用合法的工具和系统混入您平常的网络流量进行横向移动,这意味着它经常被典型的反病毒软件所忽视,并且更难以发现。了解攻击者可能使用的常见工具和流程将大大增加您识别它们的机会。
网络监控的最大挑战是识别真正的安全事件,而不是网络中存在的大量“噪音”中常见的误报。了解您的网络及其用户的典型行为可以帮助减轻误报问题,因为您会变得更加善于发现异常活动。通过对网络进行分段,您有机会重点监控网段之间创建的流量焦点。
总之:
- 请遵循我们的 网络监控 和 安全运营中心 (SOC) 买家指南出版物。
- 启用系统上的任何日志记录和审核功能,并使用它们来检测异常活动。
- 对可以连接到网络的所有设备进行审核或记录,并了解高价值资产。
- 了解并熟悉网络及其通常的使用方式。
8.考虑使用蜜罐
蜜罐是专门为了受到攻击而设置的系统。
在网络内部设置的生产 蜜罐作为真实系统的诱饵,可以成为检测网络入侵的宝贵工具。由于蜜罐不是网络上的合法系统(并且不包含真实数据或服务),因此意外连接可以被认为是恶意活动(因为真正的用户不需要访问蜜罐)。如果您检测到与蜜罐的交互,应立即进行调查。生产蜜罐应用于补充网络监控和其他入侵检测技术。
研究蜜罐不会直接使网络受益,但其目的是收集有关攻击者使用的最新技术的信息。
使用蜜罐确实会带来一些风险。研究蜜罐本质上是有风险的,因为它们鼓励攻击者与其交互。生产蜜罐的风险较小,但仍然会给组织带来一些风险,具体取决于其复杂程度。例如,它们可能被利用并用作平台,在横向移动期间对网络中的合法系统发起攻击。
由于这些原因,只有在评估了不正确实施的影响并且组织拥有相关专业知识的情况下才应使用蜜罐。
总之:
- 考虑在组织中使用生产蜜罐,前提是拥有这样做的专业知识并了解所涉及的风险。