如何系统化防止内网中的横向移动攻击
目录导读
- 横向移动攻击的本质与威胁 – 理解攻击者如何“跳板式”渗透
- 攻击者的经典路径解剖 – 从初始入侵到关键资产的全过程
- 六层防御架构详解 – 从网络、身份、终端到行为的立体防线
- 常见问答 – 安全团队最关心的5个实战问题
- 实施路线图与优先级 – 从紧急到持续的防御节奏
横向移动攻击的本质与威胁
问:为什么内网会存在横向移动攻击的风险?
答:许多企业“重边界、轻内网”,导致内部网络一旦被突破,攻击者就能像“打开了所有房间门”一样自由移动,2024年Mandiant报告显示,平均攻击停留时间(Dwell Time)仍长达16天,其中超过70%的攻击事件涉及横向移动,攻击者利用合法凭证、滥用协议信任、跳板至域控制器,最终窃取数据或部署勒索软件。
核心威胁在于:
- 内网信任机制(如Kerberos、NTLM)被滥用
- 用户和机器通常拥有超出必要的权限
- 网络分段不彻底,攻击者能“东撞西突”
攻击者的经典路径解剖
典型的横向移动生命周期包含五步:
- 初始入侵:通过钓鱼邮件、漏洞利用进入1台工作站
- 凭证窃取:使用Mimikatz、LSASS dump获取管理员账号
- 权限提升:利用本地提权漏洞或Pass-the-Hash
- 横向扩散:通过WMI、PsExec、WinRM、SMB远程执行命令
- 目标达成:到达数据库服务器、域控制器,完成数据窃取或勒索部署
关键观察点:攻击者需要“跳板”,每一次跳转都会留下痕迹,防御的核心在于:增加跳板成本,阻断信任路径。
六层防御架构详解
第1层:网络微分段与访问控制
问:如何防止攻击者在内网“肆意漫游”?
答:抛弃扁平化内网,实施微隔离(Micro-segmentation),具体做法:
- 根据业务职能划分安全区(如办公区、DMZ、数据库区、运维区)
- 使用软件定义网络(SDN)或防火墙策略实现服务器间白名单访问
- 对关键资产(域控、备份系统)设置零信任策略:必须经过明确授权的连接
- 部署网络流量基线监控,一旦出现异常连接到低风险主机立即告警
实战建议:允许Web服务器仅能与应用服务器通过特定端口通信,拒绝所有其他横向连接。
第2层:身份与凭证防护
攻击者最爱的是“无效的密码策略”和“滥用服务账号”,防御要点:
- 实施LAPS(本地管理员密码解决方案):为每台机器分发唯一、自动轮转的本地管理员密码
- 禁用NTLM v1:强制启用Kerberos,并配置约束委派
- 最小权限原则:取消用户对“Domain Admins”组的直接成员资格,使用Just Enough Administration (JEA)
- 部署Windows Defender Credential Guard:防止LSASS凭证被转储
关键数据:实施LAPS后,Pass-the-Hash攻击的成功率降低90%以上。
第3层:终端强化与日志监控
问:终端是横向移动的“出入口”,如何堵住?
答:每一台终端都可能成为跳板,必须强化:
- 启用Windows Defender Application Control (WDAC) 或AppLocker,阻止未签名脚本、可执行文件运行
- 禁用PowerShell的远程代码执行(设置Execution Policy为Restricted,限制WinRM调用)
- 开启Sysmon(系统监视器):跟踪进程创建、网络连接、文件创建事件
- 设置实时EDR(端点检测与响应):检测诸如“lsass.exe被非预期进程访问”、“主机在短时间内尝试多种SMB连接”等横向移动特征
注意:日志必须集中汇聚至SIEM平台(如Splunk、ELK),并配置以下告警规则:
- 单台主机连续尝试连接超过5台不同主机的445端口
- 同一账号在5分钟内登录超过3台主机
- 计划任务或WMI远程启动的可疑进程
第4层:应用与协议滥用防御
攻击者常利用“信任协议”进行横向移动:
- RDP滥用:禁用不必要的远程桌面端口,使用RDP网关进行集中管控
- SMB滥用:关闭SMB v1协议,对SMB共享设置严格权限
- WMI滥用:限制WMI访问权限,仅允许特定管理主机执行WMI查询
- WinRM滥用:配置WinRM仅接受Kerberos认证,并启用HTTPS加密
推荐工具:使用安全基线工具(如Microsoft Security Compliance Toolkit)自动配置。
第5层:行为分析与异常检测
问:如果攻击者使用合法凭证,如何发现?
答:基于行为模式而非仅依靠签名:
- 建立用户行为基线:某用户通常在早8点至晚7点登录办公电脑,若凌晨用服务器账号登录核心数据主机,立即触发告警
- 检测异常远程执行:一台从未使用过PowerShell的工作站突然执行远程脚本
- 使用UEBA(用户与实体行为分析) 工具:自动识别“可疑横向移动链”
真实案例:某金融机构通过UEBA发现一台打印机在每晚2点尝试SSH连接数据库服务器,最终阻断了一起APT攻击的横向移动阶段。
第6层:持续测试与应急演练
防御不是一成不变的:
- 定期开展红蓝对抗:模拟攻击者从钓鱼到横向移动的全流程
- 部署蜜罐(Honeypot):在服务器段设置虚假凭证、假数据库,一旦被触碰即刻告警
- 每季度更新攻击面清单:识别并收敛开放的高风险服务(如未受保护的RDP、SNMP)
常见问答
Q1:中小型企业也能实施如此复杂的防御吗?
A:可以分阶段,优先级顺序为:部署LAPS → 启用EDR → 实施微隔离 → 搭建SIEM,成本可控,效果显著。
Q2:使用VPN后,横向移动风险是否降低?
A:VPN解决的是外部到内网的边界安全,但一旦用户终端被感染,VPN会话成为跳板,仍需网内防御。
Q3:如何选择微隔离技术?
A:首先考虑Windows自带“Windows Defender Firewall with Advanced Security”进行简单隔离;非Windows环境建议使用开源方案如Calico或商业方案如VMware NSX。
Q4:横向移动与勒索软件的关系是什么?
A:现代勒索软件标配横向移动模块,2023年LockBit的攻击报告显示,其核心感染策略是在域内同时加密多台主机,阻断横向移动直接破坏勒索传播链。
Q5:是否需要对所有主机进行相同强度的防护?
A:否,采用“资产分级”原则:对域控制器、数据库、备份服务器、证书管理服务器实施最高强度隔离;员工终端采用标准强化即可。
实施路线图与优先级
| 阶段 | 时间周期 | 关键动作 | 预期效果 |
|---|---|---|---|
| 紧急(0-2周) | 立即实施 | 部署LAPS、禁用域管理员日常登录、关闭SMB1 | 掐断90%的凭证滥用路径 |
| 短期(1-3月) | 推进 | 启用EDR、配置基本SIEM告警、实施微分段 | 实现对常见攻击行为的阻断 |
| 中期(3-6月) | 深化 | 部署UEBA、建设蜜罐、开展红蓝对抗 | 发现隐蔽攻击链 |
| 持续(每季度) | 常态化 | 更新攻击面、审计权限、优化基线 | 保持内网整体免疫力 |
横向移动不是“一次性问题”,而是一种需要持续应对的动态风险。 通过上述六层体系,企业可以从“被动发现”转向“主动防御”,让攻击者即使突破边界,也无法在内网自由“攀爬”,每一次跳转成本的增加,都是对关键资产的一道坚固屏障。
(声明:本文提及的域名均替换为示例格式,实际部署请参照厂商官方文档)
