Lateral Movement Detection: How Panguard Guard Stops Attackers
Once an attacker gets in, they move laterally. Panguard Guard's three-layer AI engine detects lateral movement in real time, before data exfiltration begins.
Kill Chain 問題
對攻擊者來說,初次進入 server 只是第一步。真實傷害在橫向移動發生 — 攻擊者從立足點擴張到更高價值目標的階段。他們從被入侵 web server 移到資料庫 server、從開發工作站到 production 環境、從單一使用者帳號到 domain admin。
多數安全工具專注於防止初次存取。防火牆、認證系統、邊界防禦都是要把攻擊者擋在外面。但攻擊者進入後,偵測挑戰根本改變。橫向移動用合法工具和協定。攻擊者現在是內部人。
為什麼橫向移動難偵測
橫向移動難偵測,是因為看起來像正常活動。攻擊者用偷來的 SSH 金鑰在 server 間連線,看起來和開發者做同樣事完全一樣。攻擊者跑系統命令列舉網路拓樸,用的是系統管理員每天用的同樣工具。
傳統 rule-based 偵測在這掙扎。你不能寫一條 Sigma 規則說「有人用 SSH 時告警」,而不在 false positive 中淹沒。合法和惡意橫向移動的差別不在動作本身 — 在 context。
Context 感知偵測
Panguard Guard 透過行為 context 偵測橫向移動。7 天學習期後,系統了解特定環境的 server 間通訊正常 pattern。
它知道哪些 server 通常互相通訊、哪些使用者存取哪些系統、登入後通常執行什麼命令、機器間什麼資料流動。攻擊者偏離這些 pattern 時 — 連線到這個使用者從未存取的 server、執行沒人跑過的偵察命令、以異常數量傳輸資料 — 行為層標記偏離。
橫向移動的三個信號
我們的偵測引擎監控三類指示橫向移動的信號:
憑證異常。使用者帳號突然從從未關聯的 server 認證。SSH 金鑰從未預期的源 IP 使用。服務帳號通常只跑自動任務時執行互動命令。
網路 pattern 斷裂。沒有歷史通訊 pattern 的 server 間新連線。內部網路上不尋常 port 使用。偏離既有量基線的資料傳輸。
執行鏈分析。命中偵察 pattern 的命令序列 — whoami、hostname、ifconfig、cat /etc/passwd。顯示從 web server process 產生互動 shell 的 process 樹。在不尋常目錄建立的排程任務。
自動反應
沒反應的偵測只是 logging。Panguard Guard 的自動反應系統根據信心門檻對已確認橫向移動偵測採取行動。
高信心偵測(95% 以上)觸發即時反應:可疑 session 被終止、源 IP 被擋、受影響使用者帳號被暫時鎖定。捕獲系統狀態的鑑識快照供調查。
中信心偵測(70-95%)透過 Slack、Telegram 或 email 產生含完整 context 的即時告警。安全團隊可審查證據並決定是否升級。
低信心偵測(低於 70%)被記錄並關聯。它們不個別產生告警,但若多個來自同源的低信心信號累積,會自動升級。
即時,不是事後
Panguard Guard 橫向移動偵測的關鍵優勢是時序。從偵測到自動反應的中位時間是 47 毫秒。對照產業平均從違規到偵測 194 天。
那 194 天內,攻擊者可列舉網路上每個系統、外洩 TB 資料、建立持久後門、掩蓋蹤跡。47 毫秒內,他們在 session 被終止前執行一個命令。
這是安全事故和安全事件的差別。一個是災難。另一個是 log 條目。