合规见解：如何阻止横向移动并增强授权管理

出于上述原因，监管机构在限制攻击者的攻击途径方面明确提出以下要求便不足为奇了：

• 通用数据保护条例 (GDPR)：第 32 条：在技术和企业层面采取措施，通过网络分段等控制手段，确保实现与风险级别相适应的安全水平

• 支付卡行业数据安全标准 (PCI DSS) v4.0：要求 1 ：部署防火墙以保护信用卡持卡人的数据，并确保防火墙经过正确配置，能够限制可信网络和不可信网络之间的连接

• 国际标准化组织/国际电工委员会 (ISO/IEC) 27001：对信息和数据处理设施进行隔离，以保障信息的机密性、完整性和可用性

如今的攻击面不仅范围更广，而且深度更深，它由一系列复杂的层级组成，这些层级是企业急于创新带来的副产品。这些层级包括多个云环境、快速涌现的容器、数千个指向数据的 API，以及能自主访问和传播敏感信息的 AI 应用程序。

上述所有层级都存在漏洞，让攻击者有更多机会在遭受入侵的网络中畅行无阻，并且未经授权即可访问敏感数据和知识产权。如果缺乏适当的配置并且未实施最低权限原则，那么这些资产很容易成为凭据窃取和特权提升的攻击目标。

您的企业有责任识别并弥补不足之处，以免发生横向移动、数据泄露或遭受巨额罚款。威胁搜寻和行为分析等安全实践可以检测出异常的用户行为和潜在攻击，使您的企业能够抢先一步防范高级持续威胁。

在合规系列的上一篇博文中，我们阐述了为何应该在构建满足监管要求的控制措施和工具的过程中采用分层安全思维。

例如，如果您的企业需要遵守要求进行风险评估的强制性规定，那么应针对您的分层安全思维提出以下问题：我们可以增加哪些功能来进行证明，如果某层防御措施失效，另一层防御措施是否能够接替其发挥防护作用？

在本博文中，我们将探讨如何采用分层防御措施来识别、遏制和防止横向移动攻击，同时加强身份验证和授权控制。

普通的 IT 资产不仅仅扩大了规模，还增加了新的附加部分、层级，并与其他企业的 IT 资产建立了虚拟连接。而监管机构难以同步应对由此产生的风险。

例如，欧盟在 2023 年 1 月发布了网络和信息安全指令》(NIS2) 更新，对原有的 NIS2 要求进行了扩展。仅仅过了两年，AI 的快速发展便让公司的经营方式以及恶意攻击者攻击公司 AI 创新的方式发生了巨大变化。

据 IDC 预测，到 2028 年全球在 AI 领域的投资将达到 6320 亿美元，而大语言模型 (LLM) 提示注入和 AI 数据泄露等新型威胁将损害这些投资。最新的攻击方法可能未在 NIS2、GDPR 或 PCI-DSS v4.0 等经过更新的法规和标准中有所体现。但无论如何，数据泄露一旦发生便是既定事实，监管机构将对不合规的企业处以罚款。

API 保护就是这种情况。每当有客户、合作伙伴或提供商与企业进行数字互动时，后台都会有相应的 API 来帮助实现数据的快速交换。以前，网络犯罪分子会精心设计复杂的攻击路径，而现在他们很清楚，只需要以 API 为攻击目标即可简化其攻击方案。

例如，攻击者可以通过操作 API 请求中的对象 ID 来利用容易遭受失效的对象级授权 (BOLA) 攻击的 API 端点。该漏洞让攻击者可以在网络中实现横向移动，从而绕过授权机制、提升权限，并获取客户数据。

BOLA 通常由业务逻辑缺陷引起，而且许多这类缺陷还与错误配置的授权检查相关。在 2024 年 API 安全影响研究中，受访的应用程序安全专业人士认为，错误配置是导致 API 安全事件的首要原因。

以下是增强企业 API 安全态势的一些最佳实践，可用于限制横向移动、减轻恶意活动，并通过强有力的授权机制来针对正在发生的攻击采取修复措施。

• 在用户和他们经常访问的资源之间建立明确的关系；例如，通过可以检测异常访问模式的机器学习算法设定行为基准

• 实施能够区分正常 API 活动与可疑活动的运行时保护功能

• 通过将 API 安全解决方案与现有技术栈集成来及时应对可疑行为；采用的解决方案应该能够发现高风险行为，并在可疑流量访问关键资产之前予以阻止

无论是保护企业、政府机构，还是保护受 HIPAA 监管的医疗保健企业，这些 API 安全最佳实践都有利于提升网络恢复能力和法规合规性。

当网络安全团队制定控制措施来满足新法规的要求时，他们可能会沮丧地发现，本就充满挑战性的安全漏洞可能会引发不合规问题。例如，2025 年 1 月生效的《数字运营弹性法案》(DORA) 明确要求，应采取强有力的网络安全控制措施来保障信息和通信技术 (ICT) 的安全。这项要求不仅适用于受监管的金融机构，也适用于为这些金融机构提供 ICT 系统和服务的第三方。

我们先前已经探讨过 DORA 针对提升风险监测能力提出了哪些要求。现在，我们将继续探讨提升网络监测能力与限制攻击者移动能力之间的关联。

具体而言，DORA 要求采用基于风险的方法来建立完善的网络和基础架构管理，包括在网络攻击期间隔离受影响资产的自动化功能。DORA 要求设计具备即时分段能力的网络连接，以防止勒索软件攻击等网络威胁的传播。

遗憾的是，我们与许多安全团队交流后发现，他们缺乏对网络通信的实时监测能力，因此无法察觉表明已入侵系统的攻击者进行横向移动的信号，也无法发现指示恶意软件等威胁进行传播的迹象。在涉及本地和云端组件的复杂 IT 资产中，这尤为困难。

许多网络安全团队已实施基础的分段控制措施，将网络划分为更小的隔离网段。每个网段都独立运作，并且它们之间的访问受到严格控制。目标是减小攻击面并限制威胁的传播。

我们建议通过软件定义的微分段来进一步推进此方法。

微分段允许网络安全团队在网络中创建更小、更精细的网段。每个微分段都有自己的安全策略和访问控制措施（如最小特权），用于识别、隔离和减少恶意网络流量。

例如，通过正确的微分段工具，安全团队可以创建相关策略，以便对应用程序彼此之间、应用程序与系统之间的交互方式实施阻止、分段和限制。将资产隔离在明确的边界内可以帮助企业：

• 修复可能会被恶意软件或遭到入侵的应用程序利用的漏洞，这类漏洞利用是 DORA 等法规认定的关键威胁

• 降低报告的复杂性，以符合要求定期审计并记录安全措施的监管规定

寻找提供 AI 建议模板的安全工具来修复勒索软件及其他常见应用场景，这些模板包含精确的工作负载属性，如进程、用户和域名。通过与 Zero Trust 架构相结合，无论涉及哪些用户帐户或资产，这些安全工具都能够帮助实现更强有力的授权和访问控制措施。

我们认为，遵守数据安全法规所采取的方法与企业实施分层安全策略来保护攻击面的每个层级的方法并无太大区别。

在本系列博文中，我们探讨了常见的合规挑战，并讨论了除传统网络安全工具等传统策略之外，与当今监管机构要求直接相关的最佳实践。最后，我们认为完善的安全措施有助于制定更强有力的合规性计划。敬请关注后续文章，我们将继续探讨保障企业安全与满足监管要求之间的关联。