主要观点：检测横向移动是当今重要的网络安全挑战，攻击者有五步法，安全团队需了解其技术，文中介绍了横向移动技术的演变、关键迹象、强化检测工具与技术、构建分层防御及应对未来黑客战术等内容。
关键信息：

• 横向移动技术从简单到复杂，传统防御已不足，96%横向移动行为不触发警报。
• 关键迹象包括异常登录模式、意外特权升级、异常网络流量等。
• 最佳检测工具如 UEBA、SIEM、XDR 等，需具备连续监控等能力，还可利用 Windows 事件日志和机器学习进行异常检测。
• 构建分层防御要实施网络微分段、有效使用多因素认证、采用主动威胁狩猎策略。
• 要适应 AI 驱动的攻击，提升连续监控和响应能力，时间在网络安全中至关重要。
  重要细节：
• 攻击者常使用多种技术如 Pass-the-hash 等，花费 80%时间进行横向移动，攻击后半小时内可横向移动，平均 213 天被发现。
• 异常登录模式如非工作时间登录、位置不符、失败后成功登录等。特权升级分垂直和水平，Windows 事件日志可显示。网络流量分析可通过数据传输、新连接等发现异常。
• 目的-built 解决方案、SIEM 平台、XDR 等工具的特点及作用。Windows 事件日志中特定事件 ID 的重要性及集中收集系统的作用。机器学习的 K-means 聚类等技术。
• 网络微分段可限制攻击者移动，多因素认证可增加障碍，主动威胁狩猎可提前发现威胁。AI 驱动攻击的特点及应对措施，如利用机器学习模型识别异常行为等。