Zero Networks发布的《2026年横向移动风险暴露报告》对312个真实企业环境中的54万亿条活动进行了分析,报告指出,超过80%的企业服务器可以从网络内部的任意位置访问。
研究发现,87%的企业服务器接受来自广泛内部源的远程桌面协议(RDP)或SSH(安全外壳)入站连接,这为攻击者进入网络后提供了广泛的访问路径。
此外,78%的企业服务器可以通过SMB(服务器消息块)或WinRM(Windows远程管理)访问,这些网络协议通常会被攻击者利用,在勒索软件或其他攻击中实施横向移动。
同时,43%的内部认证流量仍依赖NTLM(新技术局域网管理器),这种老旧协议经常在凭据中继和权限提升攻击中被滥用。12%的企业保留了直连的“用户到服务器”管理路径,这意味着只要有一台员工设备沦陷,攻击者就能直接访问高价值系统。
托管检测和响应(MDR)公司Huntress的安全运营高级经理Dray Agha在接受记者采访时表示:“这些发现与我们Huntress的威胁猎手每天在最前线看到的实际情况完全吻合,大多数网络的边界在外部固若金汤,但在内部网络中却失去了这种敌意,变得极其平坦。”
由于大部分企业服务器都可以从遭受入侵的内部网络中访问,攻击者在攻破网络边界后,几乎不需要使用复杂的零日漏洞。
Dray Agha补充道:“他们(攻击者)只是在‘就地取材’(Living off the land),使用与IT团队完全相同的管理工具和开放路径(如RDP和SMB)。”
网络安全公司SpecterOps的全球专业服务首席官Robby Winchester也表示,Zero Networks的发现“与我们通常观察到的情况完全一致”。
Robby Winchester解释说:“在我们开展的几乎每一次红队演练和渗透测试中,我们的测试人员都实现了横向移动。使用BloodHound等工具可以向我们证明,在缺乏可见性的情况下,攻击路径是泛滥且难以消除的,这凸显了阻止横向移动有多么困难。”
生而互联的设计缺陷
问题的核心在于,安全团队多年来一直在加强网络边界,同时接受了网络内部很大程度上的隐式信任。
但趋势科技(Trend Micro)的高级威胁研究员David Sancho表示,摆脱这种方法绝非易事。
David Sancho说:“残酷的现实是,许多企业环境在设计上就保持着高度的互联性。RDP、SMB、SSH和WinRM之所以存在,是因为管理员需要完成工作。”
像NTLM这样的老旧协议之所以能留存下来,是因为更换它们在运维上面临挑战,然而,尽管如此,停用这些老旧技术仍是明智之举,因为它们的存在让攻击者能够更容易地深入到遭受入侵的网络中。
不过,David Sancho也指出,广泛的暴露并不等同于在所有情况下都会遭到普遍的利用。
他解释道:“可达性代表的是潜在的爆炸半径,而不是必然沦陷,同时,这些发现凸显了一个持续存在的运维挑战:如何在安全与易用性之间取得平衡。”
此外,David Sancho补充道:“限制管理路径、淘汰老旧协议以及实施更严格的隔离都是明智的举措,但在长达数十年构建起来的复杂环境中,这些措施往往难以执行。”
GolfWiz AI的创始人兼联合CTO Dhruv Datta也认为,服务器可被访问只是企业安全韧性这一更广泛问题的一个方面。
Dhruv Datta告诉CSO:“可访问的服务器可能仍受到身份控制、端点监控、访问策略或其他保护措施的捍卫。实际风险还取决于攻击者已获取的权限、针对每种协议的控制措施,以及发现可疑活动的速度。”
然而,渗透测试即服务(PTaaS)公司Cobalt的攻击性安全研究总监Joe Brinkley认为,防御者必须采取更多措施来限制攻击者的移动范围,这样才有机会保护敏感系统。随着自动化和AI驱动的横向移动手段日益增多,这一要求变得更加迫切。
Joe Brinkley建议:“企业必须从纯粹的检测策略中转变过来,通过微隔离和严格的、基于身份的最小权限原则,优先实现确定性的遏制。”
应对措施
敏感系统的内部可达性带来了巨大的勒索软件和权限提升风险,仅仅把目光投向提升边界防御是完全不够的。
要削减攻击路径并增加攻击者的难度,需要将改进的网络隔离、身份控制、红队测试以及更严格的特权访问隔离结合起来。


