——从真实攻击链看零信任如何遏制横向移动与权限提升
在一次又一次的安全事件中,很多企业都会有一个共同的疑问:
“边界设备、EDR、WAF 都部署了,为什么攻击者还是能横向、提权、接管全网?”
答案往往只有一句话:
我们仍然在“默认信任内网”。
零信任架构(Zero Trust Architecture,ZTA)并不是一个新概念,但它真正解决的,正是现代攻防中最致命的问题——横向移动与权限提升。
本文将结合前文提到的真实攻击案例,从攻击者视角还原攻击链,再从防守者视角分析:
如果引入零信任,这些攻击会在哪一步被阻断。
一、传统安全模型的问题:一旦进内网,几乎畅通无阻
在多数传统企业网络中,安全逻辑通常是:
- 外网 → 防火墙 / VPN → 内网
- 一旦进入内网,即被视为“可信用户”
- 内部资产之间通信几乎不做限制
- 权限体系依赖 AD 域,账号横向复用严重
这意味着:
攻击的真正难点只有“第一次突破”。
一旦突破,后续往往是:
- 扫描内网
- 弱口令 / 凭据重用
- SMB / WinRM / RDP 横向
- 抓 Hash / 票据
- 域控沦陷
二、攻击案例回顾:一次典型的横向移动 + 提权路径
我们回顾一个前文多次提到的模拟攻击场景(高度贴近真实环境):
攻击链简化如下:
- 初始入口
- 钓鱼邮件 / Web 漏洞
- 拿到一台普通办公终端权限
- 内网侦察
- 扫描 445 / 3389 / 5985(WinRM)
- 发现多台服务器对内网开放管理端口
- 横向移动
- 使用 Evil-WinRM 连接另一台服务器
- 利用弱口令 / 凭据重用成功登录
- 权限提升
- 在服务器内存中抓取 NTLM Hash
- Pass-the-Hash 登录域控
- 域管理员权限获取
整个过程往往1–2 小时内完成。
三、零信任的核心思想:攻击链的“逐段拆解”
零信任并不是“更强的防火墙”,而是彻底改变信任模型:
任何人、任何设备、任何访问请求,默认都不可信。
其核心原则包括:
- 永不默认信任
- 持续验证身份与设备状态
- 最小权限访问
- 微分段
- 全程可观测
下面我们逐段对照攻击链,看零信任如何发挥作用。
四、零信任如何遏制横向移动
1、阻断“内网即可信”的错误假设
在零信任架构下:
- 内网 ≠ 可信
- 办公终端 ≠ 可以访问服务器
- IP 地址 ≠ 身份
访问控制从“基于网络位置”,转向基于身份 + 设备 + 上下文。
效果:
攻击者即使控制了一台办公终端,也无法直接访问服务器资产。
2、微分段(Micro-Segmentation):让“扫描”变得无意义
零信任通常会引入微分段技术:
- 不同角色、不同业务被拆分为独立安全域
- 默认拒绝横向通信
- 只允许“明确授权的访问路径”
在这种架构下:
- 办公终端无法扫描服务器网段
- SMB / WinRM / RDP 默认不可达
- 横向探测流量会被直接丢弃或告警
攻击者视角:
“我在内网,但什么也连不上。”
3、基于身份的访问控制(ZTNA):横向协议失效
传统横向移动依赖协议本身(SMB、WinRM、RDP),
而零信任访问的核心是:
先认证 → 再授权 → 最后才建立连接
典型策略包括:
- 服务器只接受来自 ZTNA 网关的访问
- 管理访问必须经过身份验证 + MFA
- 即使账号正确,未授权也无法建立会话
结果:
- Evil-WinRM、PsExec、SMB 爆破等工具直接失效
- 横向移动不再是“技术问题”,而是“权限问题”
五、零信任如何遏制权限提升
1️、最小权限原则:让“提权没有价值”
零信任强调:
- 用户只拥有完成工作所需的最小权限
- 不存在“通用管理员账号”
- 权限临时、按需、可回收
即使攻击者:
- 拿到某台服务器权限
也无法自然过渡到更高权限资产。
2️、凭据隔离与管理路径隔离
零信任实践中,通常会配合:
- Credential Guard / LSA Protection
- 禁止域管登录普通服务器
- 管理操作通过堡垒机或零信任管理通道完成
这直接打断了经典提权链:
服务器 → 抓 Hash → 域控
攻击者痛点:
“我控制了服务器,但内存里什么都没有。”
3️、持续验证与行为分析
零信任并非“一次认证终身有效”,而是:
- 持续评估行为
- 实时风险评分
- 动态调整权限
例如:
- 一个账号短时间访问多台服务器 → 风险升高
- 非运维时间进行管理操作 → 二次验证
- 异常地理位置 / 设备指纹变化 → 会话终止
这让攻击者无法长时间潜伏。
六、零信任对攻击链的整体影响
攻击阶段 | 传统架构 | 零信任架构 |
初始入侵 | 凭据泄露即可进入 | MFA + 设备校验大幅降低成功率 |
内网扫描 | 几乎无阻力 | 微分段直接阻断 |
横向移动 | SMB / WinRM 成功率高 | 基于身份授权,工具失效 |
权限提升 | Hash 随处可抓 | 凭据隔离,提权困难 |
持续控制 | 可长期潜伏 | 行为异常被快速发现 |
结论很清晰:
零信任不一定能阻止“第一次入侵”,但能极大压缩攻击者的生存空间。
七、落地建议:零信任不是一步到位
对大多数企业来说,零信任的正确姿势是渐进式落地:
优先级建议:
- 身份安全优先
- 统一身份源
- 全员 MFA
- 高权限账号强管控
- 关键资产先零信任
- 数据库
- 域控
- 核心业务系统
- 限制横向协议
- 收紧 SMB / RDP / WinRM
- 引入 ZTNA 访问模式
- 终端与行为可视化
- EDR
- SIEM
- 行为分析
八、结语:零信任的真正价值
零信任并不是让系统“绝对安全”,
而是让攻击变慢、变难、变贵。
在攻防对抗中,
只要攻击者无法快速横向、无法顺利提权,防守方就赢了一半。
不信任任何人,只验证每一次访问。
这正是零信任在现代攻防中的真正意义。
