《影片》網路攻擊橫向移動說明

[影片內容]

嗨!這是趨勢科技研究部門的Mark Nunnikhoven,我想跟你們談談橫向移動這概念。

我之所以想要討論這個話題,是因為我最近幾天進行了一些談話,去確實地讓人們真正了解網路犯罪分子是如何對企業進行犯罪行為。特別是他們是如何發動攻擊。

不要誤會,這並不是想要怪防禦方或是普羅大眾。這裡該怪的是好萊塢,因為我們不可避免地會看到好萊塢電影這樣演……駭客用黑帽掩蓋著自己的臉,待在黑漆漆的地方,或許是地下室,天知道他們到哪找到這些地方來進行攻擊,然後就直接進行攻擊。

你會看到螢幕上出現一串字,他們穿透了第一道防火牆,然後穿透了第二道防火牆來進入資料所在的地方。這根本就不是真實的運作方式。

這很荒謬。太荒謬了。

[00:59]

這些都是有趣的戲劇效果,就像 CSI Cyber影集出現的紅色程式碼/綠色程式碼一樣,但這些並不是為了呈現真實。這就是真正的問題。許多人都沒有接觸過網路安全或從事網路安全工作的經驗,所以他們的了解就只是來自通過媒體看到的東西(你知道的,電視、電影、書籍)或是碰巧認識某人在從事相關產業。因此會出現過多的資訊,或說是錯誤資訊。

甚至不能算是錯誤資訊,只是在講故事,試圖更加有戲劇性。現實情況是網路犯罪分子的動機是為了錢。

我們一次又一次地瞭解到這一點 – 是的,的確有一堆國家等級的網路攻擊,但是你們絕大多數都不會受到影響

然後有一大堆的腳本小子只會用各種工具進行隨機掃描,只是想看看這樣可以得到什麼

如果你有堅實的自動化防禦,這些並不會真正對你產生影響。

真正會對你造成影響的絕大部分是組織化的網路犯罪分子,他們都是為了賺錢。趨勢科技有一個關於網路地下世界很棒的系列(而且會繼續下去),裡面可以看出這些賺錢的動機有多深。

這是個非常黑暗的行業。而了解了這一點,讓我們回到橫向移動的概念。

[02:22]

如果攻擊侵入你的系統,無論是像四分之一的惡意攻擊那樣是透過電子郵件進行,或是直接透過被感染或入侵的伺服器進行(根據 Verizon的資料外洩調查報告,這大約佔所有攻擊的一半),還是其他各種常用的方法……接著他們會開始在你的網路內部移動。

這就是橫向移動。

我們談論到網路的南北向流量,基本上就是內部網路到外部網路,所以會進入網際網路再回來。東西向流量是網路內部流量。大多數的防禦,傳統防禦都擔心南北向網路流量。

不對東西向流量投入足夠的關注,但它最終會被入侵。我們要擺脫只保護邊界的想法。“這是我的,我捍衛內部的一切”……並認識到這是網路犯罪份子真正的運作方式。一旦他們進入,他們會四處移動。我們需要縱深防禦並在網路內部署良好的監控和保護工具,好處理橫向移動的問題。

[03:23]

讓我給你一些更容易了解的比喻。我們大多數人在家裡都會有一個購物清單,也許每週一次或兩次,我們會去賣場將清單上想買的東西都一起買到再回家。這樣做才有意義。

這就是我們的處理方式。對吧?永遠都可能是,「好。清單最上面的是番茄醬。我要去商店買番茄醬。我打算買了然後回家。

我再看看第二項。我需要一條麵包。我要開車回商店。我打算買一條麵包然後回家,我們可以接著看第3項,我要去買,我要回家了。我要……」那太荒謬了,對吧?這絕對很荒謬,網路犯罪份子也同意。

一旦他們開車進到商店。他們會購買所需要的一切跟所有引起他們興趣的東西,對吧?他們真的很容易受到那些擺出來物品的影響跟做出衝動性購買……然後他們才會離開。

這就是他們攻擊我們組織的方式。

我們知道是這樣,因為現在偵測到入侵外洩事件的平均時間大約是197天,而這數據在過去十年大概上下波動了15天。

我們也知道需要差不多三個…需要兩個半月到三個月的時間來處理一件入侵外洩事件,從發現事件開始算,而這背後的原因就是橫向移動。

一旦你成為網路犯罪分子,一旦你取得了進展,一旦你在網路內取得立足的點,你就會盡一切努力進行擴展,因為這可以讓你賺取最多的錢。

[04:55]

你怎麼看?

你如何處理橫向移動?你如何減少這類狀況發生?你如何取得對所有系統的能見度?

讓我們繼續這些談話,因為當我們繼續談這話題,我們都會變得更好,更安全。

@原文出處:Cyberattack Lateral Movement Explained 作者: :Mark Nunnikhoven(雲端技術研究副總)