东西向流量监控盲区:NDR厂商是否关注错了重点?
大多数NDR部署都聚焦于边界流量,而攻击者却在网络内部横向移动。本文将探讨为何东西向流量可见性已成为当今最大数据泄露事件的盲区。
目标读者
CISO、事件响应团队、SOC经理、IT领导者、MSSP
可见性差距代表了网络安全中最危险的矛盾之一。安全领导者了解攻击造成损害的位置,但部署选择往往优先考虑便利性而非全面保护。
网络检测与响应(NDR)市场正在蓬勃发展。Gartner报告显示年同比增长18%,并刚刚发布了首份NDR魔力象限。但增长并不等于覆盖范围。虽然市场在扩张,但最关键的攻击向量仍然隐藏在网络内部,横向移动、凭据窃取和数据外泄都在这里悄无声息地展开。
为什么终端工具无法讲述完整故事
终端检测与响应(EDR)是强大工具,但许多组织仍将其视为万能药。他们安装代理,覆盖主机,就假设自己安全了。有些人甚至认为EDR扩展到网络和电子邮件流量。这种思维模式创造了危险的盲区。
您无法在所有地方部署代理。高管办公室的网络打印机存储敏感文档。包含最有价值数据的文件服务器通常无法运行EDR代理。物联网设备、路由器和连接到企业网络的个人设备对终端保护来说仍然是不可见的。攻击者知道这一点,专门针对CEO办公室的网络打印机,或在文件服务器上投放伪装成"salary-increase-sheet-November-2025.xls" Excel文档的恶意软件。
远程工作放大了BYOD安全风险。COVID驱动的混合工作转变使得自带设备(BYOD)政策几乎不可避免,员工经常使用个人笔记本电脑、智能手机和平板电脑处理工作任务。这些设备连接到公共WiFi网络,与家庭成员共享,并积累企业安全团队从未见过的个人用途恶意软件。最新数据显示,46%的受感染系统是混合个人和企业账户的非托管设备——通常与BYOD政策相关。
覆盖范围很少完整。影子IT和被遗忘的分支机构使整个网段未被监控。一位客户在安全审计期间才发现一个分支机构缺少EDR覆盖。
网络通信对EDR不可见。代理无法看到系统间的流量,错过了定义现代攻击的横向移动模式、凭据收集和隐蔽通道。
没有网络检测,威胁可能持续数天甚至数周。驻留时间越长,凭据升级、数据暂存和外泄的可能性就越大,这会增加响应时间和成本。
NDR的不同之处
网络检测与响应工具使用行为分析分析网络流量,持续监控内部(东西向)和外部(南北向)通信。与仅看到单个主机的终端工具或专注于阻止的防火墙不同,NDR提供了理解攻击模式和横向移动所需的网络范围可见性。
与防火墙的根本区别:防火墙在线运行,直接位于流量路径中并做出实时决策。NDR系统分析网络流量的副本,这固有地限制了它们的响应能力,但在不影响网络性能的情况下提供全面可见性。
驱使厂商走向错误方向的经济因素
如果NDR设计用于监控南北向和东西向流量,为什么这么多组织仍然缺乏内部可见性?
硬件成本驱动边界焦点。与全面的内部监控相比,在网络出口点部署传感器需要最少的硬件投资。软件许可证便宜;硬件部署昂贵,客户自然倾向于最小化资本支出的解决方案。
厂商不想为客户创造挑战:不愿疏远价格敏感的中小企业,厂商围绕预算偏好而非安全要求设计了NDR功能。他们不想因硬件成本而失去客户,因此不坚持全面的内部监控。
检测能力与现代威胁不匹配:定期连接到C2服务器的传统信标型恶意软件可以使用频率分析检测。然而现代信息窃取器利用合法通信平台如电子邮件、Telegram和Slack进行命令和控制,这使得它们的流量与正常业务通信无法区分。
不完整部署伪装成全面保护。虽然Gartner确认领先的NDR厂商提供南北向和东西向监控能力,但由于成本考虑,许多组织仍以有限的内部覆盖部署NDR。这创造了危险的差距,客户认为拥有全面保护,但实际上仅监控边界流量(攻击开始的地方),错过了内部横向移动(70%的攻击损害发生的地方)。
为什么内部流量分析比您想象的更重要
攻击者早已从可检测的自定义协议转向标准协议的伪装使用。恶意流量通常隐藏在HTTPS、DNS和类似正常业务使用的云服务中。当仅基于签名的方法不起作用时,行为分析变得至关重要。
决定性损害发生在横向移动期间。通过网络钓鱼或漏洞获得初始访问后,攻击者映射网络、收集凭据并向敏感数据移动,所有这些都在边界聚焦设置不检查的东西向流量中进行。
内部流量也为可见性提供了独特机会。许多环境仍对内部Web应用程序使用HTTP,对传输使用纯FTP,或对文件共享使用未加密的SMB。监控此类流量有助于快速揭示可疑活动,前提是它确实被观察到。
用例:当边界监控失败时
考虑一个展示南北向聚焦NDR局限性的真实攻击场景:
拥有监控所有边界流量的"全面"NDR覆盖的组织遭遇入侵。攻击始于向员工工作站发送投放信息窃取器的鱼叉式网络钓鱼电子邮件。恶意软件使用Slack通道进行C2通信,这对边界监控完全不可见。
攻击者使用原生Windows工具进行内部侦察,通过传递哈希攻击在网络中横向移动,并访问文件共享以识别有价值数据。所有这些活动都发生在边界聚焦的NDR系统无法看到的内部东西向流量中。
当两个内部主机之间发生恶意通信时,安全团队面临消耗宝贵事件响应时间的关键问题:
- 主机是什么?服务器、笔记本电脑还是打印机?
- 运行什么操作系统?
- 谁拥有设备?
- 它服务于什么业务功能?
没有即时答案,安全团队必须与IT部门协调识别基本资产,而恶意活动仍在继续。误报验证过程成为瓶颈,特别是在处理来自缺乏全面资产上下文的系统的众多警报时。
当通过次要指标检测到攻击时,威胁行为者已经外泄敏感数据并在多个系统上建立持久访问,所有这些都通过完全未监控的内部流量进行。
Group-IB方法:全面分析内部流量
我们在Managed XDR中的NDR解决方案优先监控东西向流量,使组织能够访问内部流量的全面分析。
超越基本C&C检测
虽然许多解决方案专注于识别与外部命令服务器通信的恶意软件,但我们分析网络中完整的攻击生命周期。我们的行为分析检测侦察、凭据访问、权限升级和数据收集,这些都是攻击仍可被阻止的关键MITRE ATT&CK战术。
文件存储集成
我们可以直接连接到文件共享并分析存储的文件。这种能力至关重要,因为共享资源通常作为横向移动的恶意软件分发点。这种主动方法在威胁通过网络传播之前识别它们。
隐蔽通道检测
我们不依赖对合法协议滥用无效的基于签名的检测,而是使用行为分析识别隐藏通信。无论攻击者使用DNS隧道、ICMP隐蔽通道还是像Slack这样的合法应用程序进行C2,Group-IB NDR检测基于签名的解决方案经常忽略的行为异常。
具有本地IP发现的全面资产清单
通过被动网络监控,Group-IB自动维护所有网络参与者的清单,包括设备类型、操作系统和通信模式。我们的新"本地IP"功能被动收集关于本地IP地址的详细信息,包括带有厂商和操作系统信息的MAC地址、相关域、主机名以及端口和网络服务的全面列表。
当安全警报发生时,分析师立即获得关于通信主机的上下文,包括其特定网络足迹和服务配置。安全团队可以即时评估设备类型、操作系统、运行服务和网络行为模式,而不是等待IT团队的响应来识别主机,这消除了允许攻击进展的协调延迟。
内部流量文件提取
我们利用内部流量通常保持未加密的事实来提取和分析传输中的文件。结合ICAP集成,可疑文件可以在允许在系统间传输之前自动发送到我们的沙箱环境进行分析。
高级反规避技术
NDR从网络流量提取的文件在我们的恶意软件引爆平台中分析。该平台支持500多种文件格式,并使用复杂的反规避方法,包括VM变形、用户活动模拟和回顾性分析,以检测传统系统往往错过的延迟攻击场景。
多协议和多环境支持
我们的NDR解决方案保证跨L2-L7网络协议的全面覆盖,并扩展到传统IT环境之外,支持包括MQTT、Modbus和DNP3在内的OT/ICS/IIoT协议。此能力解决了许多厂商忽略的工业环境,并在IT和运营技术网络上提供统一可见性。
威胁情报集成
每个检测实例都自动丰富Group-IB世界领先的威胁情报,立即将事件归因于已知威胁行为者、恶意软件家族和攻击活动。集成超越简单IoC匹配,提供关于攻击者动机、战术和基础设施的上下文理解,允许关于响应的更快和更明智决策。
与24/7托管服务集成
我们的NDR由Group-IB的24/7 Managed XDR服务支持,提供由在数字取证和事件响应方面拥有超过21年经验的专家分析师进行的全天候监控。这种托管方法减轻了内部团队的负担,同时确保即使在非工作时间也能立即识别和响应复杂威胁。
在攻击实际发生的地方监控
IDC预测NDR市场到2028年将以14.1%的复合年增长率增长,但这种增长将有利于解决真正安全需求而非部署便利的解决方案。组织需要提供对所有攻击阶段可见性的NDR实施,而不仅仅是初始访问尝试。
攻击者已经改变了战术,现在主要在网络内部操作,使用合法协议和通信通道。安全策略必须演进以匹配这一现实。
经济便利不应决定安全有效性。虽然市场可能偏好边界监控,但攻击者在全面可见性最重要的地方操作——您的网络内部。