蜜罐针对内网横向攻击的措施有哪些
蜜罐针对内网横向攻击的措施有以下这些:
及时攻击感知:内网尽可能多部署感知蜜罐,可通过trunk的方式进行空闲IP绑定,以此覆盖内网所有区域进行攻击感知。
关键点部署蜜罐:为防止攻击者通过主机访问日志直接摸到真实的主机或运维终端,应将关键节点处的主机上开放部分端口绑定至蜜罐。
敏感信息诱导攻击:可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击。
蜜罐需要配合诱饵使用:在诱饵指向的蜜罐上开放有利用价值的端口,在攻击者做资产嗅探时,可以吸引其入侵并进入蜜罐;再比如,攻击者偏爱OA、邮件等用户量大的系统,可以在重点区域部署此类蜜罐,并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱。
制作白名单:组织应列出已知安全的应用程序白名单,并列出已知有漏洞的应用程序黑名单。审查和评估所有新的应用程序必不可少。如果请求的新应用程序提供另一个应用程序已经具备的功能,应使用经过审查的应用程序,而不是新的应用程序。
其他防御横向攻击的方法有以下这些:
最小权限原则:最小权限原则是指,组织中的每个成员只有权使用凭据来访问处理日常工作所需的系统和应用程序。例如:只有IT人员才拥有管理权限。
白名单和审查:组织应列出已知安全的应用程序白名单,并列出已知有漏洞的应用程序黑名单。审查和评估所有新的应用程序必不可少。如果请求的新应用程序提供另一个应用程序已经具备的功能,应使用经过审查的应用程序,而不是新的应用程序。
AI和EDR安全:端点检测和响应(EDR)是监测端点、标记可疑事件的典型解决方案。使用EDR工具收集的数据并训练基于AI的网络安全软件,以留意未经授权的访问及可能存在恶意网络活动的其他异常行为。
密码安全:在网上开展业务的任何组织都必须指导员工及相关人员确保做好密码安全工作。这意味着不得在多个网站或账户上重复使用同一密码,定期更改密码。
双因子验证:双因子验证(2FA)又叫多因子验证(MFA),是另一种对付横向移动攻击的基本而必要的手段。使用2FA之后,如果一组访问凭据泄密,黑客要想进一步行动就需要访问第二个设备来验证其访问权限。