横向移动解析

什么是横向移动？

横向移动是指攻击者在起初突破网络防御系统后用来获取更多资产访问权限的一组技术。在初次访问和登录数据中心或 IT 环境后，网络犯罪分子使用被盗的登录凭据（通过凭据盗窃或网络钓鱼攻击获得）来冒充合法用户，深度潜入系统以访问敏感数据、知识产权和其他高价值资产。

横向移动攻击的危害

随着网络威胁形势不断演变，IT 网络安全团队一直专注于防止攻击者通过漏洞入侵网络防御系统。但许多团队也意识到并非所有漏洞都可以防御。事实上，谈到遭遇网络攻击，更多的是“何时遭遇”而不是“是否遭遇”的问题。

这也是为何许多精明的企业如今也专注于快速检测漏洞并尽可能降低这些漏洞可能带来的损害。在某些方面而言，这是更大的挑战，因为这要求网络安全团队监控网络中大量的东西向流量，寻找可指示潜在恶意活动的横向移动迹象。然而，大多数企业几乎无法监测东西向网络流量，特别是如果他们依赖传统技术（如传统防火墙）进行应用程序控制和设置应用程序允许列表，则更是如此。

Akamai 为您倾力打造全方位安全防护。我们的解决方案提供了深度监测、微分段和威胁情报分析工具，有助于快速检测横向移动，减小攻击面，并尽可能降低网络攻击和高级持久威胁的影响。

横向移动攻击的工作原理是什么？ 

横向移动是指已经获得可信环境访问权限并正在寻找高价值资产的攻击者所采取的一系列措施。攻击者一旦进入网络，就能识别出极易受到攻击或极具价值的资产，并采取措施提升其访问级别来获取这些资产。 

这类横向移动通常始于使用被盗凭据感染或入侵数据中心或云节点。此后，攻击者使用各种技术来探测网络、节点和应用程序，寻找可以利用的漏洞和错误配置，使其得以成功地转移到下一个目标，通常是通过网络钓鱼电子邮件或凭据转储获得被盗凭据。

如果攻击者有效地完成上述活动，IT 团队就很难检测到横向移动，因为这些活动混在大量合法东西向流量之中。随着攻击者详细地了解合法流量在环境中的流动情况，他们可以更轻松地将其横向移动伪装成已批准的活动。由于难以检测横向移动，安全漏洞会迅速升级为破坏性极大的漏洞攻击。

为了阻止横向移动攻击，网络安全团队需要三项关键能力。他们必须能够监测实时和历史东西向流量，从而更轻松地识别潜在的恶意活动。他们也可以使用 微分段安全解决方案将网络层级、工作负载级和进程级安全控制应用于关键资产，从而阻止横向移动攻击尝试。他们还能够使用欺骗技术将可疑行为重定向到高交互性欺骗引擎，让 IT 团队可以在其中详细了解横向移动攻击以进行威胁搜寻，并且了解如何制定更有效的安全策略来抵御攻击。

东西向流量可视化

如果企业力求更主动的横向移动安全防御，可以先将环境中的东西向流量可视化。一旦建立了针对已批准的东西向流量的明确基线，并且可以查看实时和历史东西向流量，就可以更轻松地识别未经批准的横向移动尝试。

这是 Akamai 解决方案的其中一项旗舰功能。 Akamai Guardicore Segmentation 技术使用基于网络和主机的传感器收集有关数据中心、云和混合环境中资产和流量的详细信息，将这些信息与编排工具提供的可用命名标签（命名约定）信息相结合，并直观地展示环境中的东西向流量。

如何将横向移动控制融入 Zero Trust 安全策略？

Zero Trust 不是一种技术或产品，而是一种用于了解安全性的框架。Zero Trust 为 CISO 和其他安全领导者提供了一种架构级战略方法，可实现更严格的安全策略态势，帮助企业全力应对不断升级的风险环境。

最近的 Zero Trust 架构 摒弃了在定义的边界内建立可信网络的想法。其目标是尽可能减小攻击面，并阻止许多网络攻击所依赖的网络间横向移动。当出现漏洞或数据泄露时，Zero Trust 架构将阻止入侵者通过横向移动来轻松访问其他系统或敏感数据。这种方法支持对速度和灵活性更为重视的新业务和运营模式。此外，还有助于遵守要求加强保护消费者数据以及分离关键和非关键资产的法规。

为了成功实施 Zero Trust 模式，安全团队需要两项基本能力：对其内部网络环境的全面监测能力，以及快速高效地围绕关键资产创建微边界的分段能力。全面的监测能力对于加深理解应用程序的依赖关系和流量至关重要，安全策略应当以此为基础。此外，还需要快速高效的分段能力来适应日新月异的业务需求和错综复杂、不断变化的混合数据中心环境。而主要侧重于外部威胁的传统安全方法在这两方面的能力都有所欠缺。