内网渗透防御：如何检测和阻断横向移动

在一次大型金融机构的内部审计中，红队成功利用未加密的SMB会话窃取了管理员凭证，随后在十分钟内横跨三台关键服务器完成权限升级，导致业务监控系统失效。事后安全团队回溯日志才发现，异常的进程创建和异常的网络流向早已埋下伏笔，却因为缺乏针对横向移动的可视化而被忽视。

关键监测指标

• 凭证使用异常：同一账户在不同子网的登录时间间隔低于 5 秒。
• 进程链路异常：lsass.exe 被 wmic.exe 调用后立即产生 PowerShell 子进程。
• 内部流量异常：SMB (445) 的流量峰值在非工作时间突增 300%。
• 文件完整性突变：系统目录下的 DLL 文件在 2 分钟内被替换三次。

实时检测技术

1. 行为分析平台（UEBA）

利用机器学习模型对用户行为序列进行概率估计，超过阈值即触发告警。实验数据显示，基于 30 天历史数据的模型对横向移动的检出率可达 92%。

1. 端点检测与响应（EDR）

在每台主机部署轻量化代理，捕获 CreateProcess、LoadLibrary 等系统调用。配合规则 ProcessCreate where ParentImage = "wmic.exe" and Image = "powershell.exe" 能在 2 秒内捕获 PtH 典型链路。

1. 网络流量镜像（NetFlow + DPI）

对内部 VLAN 进行全链路镜像，使用深度包检测识别 SMB、LDAP 的异常查询模式。实际案例中，单次异常查询超过 150 条即被标记为潜在横向移动。

阻断手段的实战要点

• 最小特权原则

将管理员账户的登录范围严格限定在管理子网，任何跨子网的登录尝试直接拒绝。实施后，横向移动成功率从 68% 降至 12%。

• 凭证隔离与动态令牌

使用 Windows Hello for Business 或基于硬件 TPM 的一次性凭证，攻击者即使窃取哈希也无法完成 PtH。

• 网络分段与零信任网关

将关键资产置于隔离区，仅通过身份验证的微服务网关进行访问。横向移动路径被迫经过审计日志，增加了检测窗口。

• 主动响应脚本

当检测到 lsass.exe 被非系统进程访问时，立即执行 Invoke-ForceShutdown 对受感染主机进行隔离并触发全局密码轮换。

“横向移动的本质是凭证滥用与信任链的裂缝”，只有在凭证、行为和网络三层同步防御，才能把攻击者的行动压缩到毫秒级的响应窗口。

通过上述多维度的监测与阻断组合，组织能够在攻击者尚未完成一次横向跳跃前即将其切断，真正实现对内网渗透的前置防御。实际部署时，建议先在非生产环境验证检测规则的误报率，再逐步推广至关键业务系统。这样既能保持安全姿态，又不会因频繁告警而导致运维疲劳。