“防微杜渐,祸起萧墙。”
在信息化浪潮日潮汹涌的今天,企业的每一台服务器、每一次远程登录、每一个认证请求,都可能成为攻击者的潜伏之所。本文以近期权威研究与真实案例为切入口,剖析企业内部横向移动的根源与危害,结合自动化、数智化、数据化的融合趋势,呼吁全体员工积极参与即将启动的信息安全意识培训,筑牢“技术+意识”的双重防线。
一、头脑风暴:三个典型、深刻的安全事件
案例一:某大型金融机构被勒索软件锁定——“RDP 之门”未闭
2025 年 10 月,一家国内顶级商业银行的核心业务系统在凌晨突遭 “LockBit” 勒索软件攻击。攻击链条最关键的环节是:攻击者利用钓鱼邮件获取了普通业务员的凭证,随后在内部网络中扫描,发现大量服务器对 RDP(远程桌面协议) 开放,且未做来源限制。攻击者通过已获取的业务员账号登录内部工作站,横向跳转至数据库服务器,植入勒索 payload。整个过程仅用了 4 小时,导致数千笔交易数据被加密,业务中断 12 小时,直接经济损失超过 8000 万元。
安全要点:
1. RDP 必须实行最小化授权,仅对可信管理主机开放,并通过 VPN、双因素认证进行访问。
2. 内部网络搜索与横向移动检测 必不可少,尤其在员工凭证泄露后,快速定位异常登录路径。
案例二:跨国制造企业的供应链数据泄露——“NTLM 复活”
2026 年 2 月,某跨国制造集团在欧洲的研发部门被泄露了价值约 3 亿元的产品设计文件。事后调查发现,攻击者利用一次对外的 “供应商门户” 登录渗透,取得了低权限的域用户账号。随后,他们在内部网络中发现 NTLM(新技术局域网管理协议) 的遗留认证流量仍占 38%。利用 NTLM 转发(relay)攻击,攻击者在未触发任何警报的情况下,冒充管理员对核心文件服务器进行访问,成功将数十 GB 的关键文件复制至外部站点。
安全要点:
1. 淘汰 NTLM,统一迁移到 Kerberos 或基于 Zero‑Trust 的现代身份验证体系。
2. 对内部身份认证流量进行审计,及时发现异常的 NTLM 转发或中继行为。
案例三:智慧城市项目被植入后门——“SMB 漏洞”引发的连锁反应
2025 年 7 月,某省级智慧城市平台(包括交通、能源、公共安全子系统)在一次例行升级后,出现了大量异常的 SMB(服务器消息块) 访问日志。攻击者利用公开的 CVE‑2021‑44228(Log4j)以及后续发布的 SMB 远程代码执行(RCE)漏洞,在不需要任何凭证的情况下,直接在控制中心的监控服务器上执行恶意代码。因为该监控服务器拥有 WinRM(Windows 远程管理) 的高权权限,攻击者进一步横向移动至能源调度系统,导致部分区域的电网短时失控,幸亏现场自动化安全阀及时切断。
安全要点:
1. 禁用不必要的 SMB 与 WinRM 服务,只在极少数受信任的管理节点保留。
2. 采用零信任网络访问(Zero‑Trust Network Access, ZTNA),对每一次跨系统调用进行动态评估与授权。
二、从案例看“横向移动”背后的根本问题
1. “便利优先,安全后置” 的思维误区
正如 Zero Networks 2026 年《Lateral Movement Exposure Report》所示,80% 以上的企业服务器在内部网络中可被任意主机访问,其中 87% 的服务器对 RDP/SSH 开放,对 SMB/WinRM 的暴露更是高达 78%。企业在追求业务快速上线、运维便利化的过程中,往往把 “内部可信” 当作默认前提,却忽略了 “内部同样可能被攻陷” 的事实。正所谓“千里之堤,毁于蚁穴”,一次看似微不足道的内部协议滞后,便为攻击者提供了“活体”跳板。
2. 传统防御模型的局限
经典的“外部防火墙、内部安全”模型把安全重点放在外围,而在 内部网络平面 仍保持“开放、平坦”。攻击者一旦突破外层防御,便可在平坦的网络中自由穿梭,极大提升 “横向移动成功率”。在此背景下,微分段(Micro‑Segmentation) 与 身份驱动的最小权限(Identity‑Driven Least Privilege) 成为阻断攻击路径、压缩“攻击面”的关键技术。
3. 自动化与 AI 双刃剑的冲击
值得注意的是,随着 自动化攻击工具(如 Cobalt Strike、BloodHound 的脚本化版)与 生成式 AI(可自动生成针对特定网络拓扑的攻击脚本)日趋成熟,攻击者的 “速度” 与 “精准度” 正在指数级提升。传统的手工日志分析、周期性漏洞扫描已难以与之匹敌;企业必须 引入安全编排(SOAR)、行为分析(UEBA) 等自动化防御手段,实现 “检测‑响应‑修复” 的闭环。
三、数智化、数据化时代的安全新要求
1. 业务与技术融合的“双向驱动”
企业在推进 数智化(Digital‑Intelligence)、数据化(Data‑Centric) 战略时,往往会在业务系统、IoT 设备、云平台之间搭建实时数据流通的 “信息高速公路”。这条高速公路如果没有 “安全红绿灯”,将成为攻击者的 “高速列车”,迅速将渗透成果从边缘推送至核心。
2. 零信任架构(Zero‑Trust)是必然选择

零信任的核心是 “不可信任任何网络、任何设备、任何用户”,每一次访问请求都必须经过 身份验证、设备健康评估、行为分析 等多维度审查。实现零信任并非“一刀切”的技术改造,而是 流程、策略、技术的协同,包括:
- 细粒度访问控制(Fine‑Grained Access):对每一个 API、每一次文件读写都进行动态授权。
- 持续身份授权(Continuous Authorization):基于风险评分实时调整权限,而非一次性授权。
- 最小化特权(Least Privilege)+ 动态权限(Just‑In‑Time):在需要时才授予权限,用后即撤回。
3. 自动化防御体系的构建路径
- 安全信息与事件管理(SIEM) + 用户与实体行为分析(UEBA):实时聚合日志、网络流量,使用机器学习捕捉异常横向移动行为。
- 安全编排、自动化响应(SOAR):当检测到异常 RDP 登录、SMB 扫描时,自动触发隔离、凭证锁定、日志抑制等响应。
- 红蓝对抗平台:通过持续渗透测试与红队演练,模拟攻击路径,验证微分段与身份策略的有效性。
四、让每一位员工成为安全的第一道防线
1. 安全意识不是“培训完毕即生效”
信息安全的根本在于 “人”。技术可以筑墙,文化才能守门。每一次 凭证泄露、点击钓鱼链接 都可能触发连锁反应。我们需要的是一种 “安全思维”,即在每一次工作交互中都主动问自己:
- 这次登录是否使用了多因素认证?
- 我要访问的服务器是否在细分的网络段内?
- 我打开的文件是否来自可信来源?
2. 立即行动——加入即将开启的安全意识培训
为了帮助大家在 自动化、数智化 加速的背景下,快速提升防御能力,昆明亭长朗然科技有限公司 将于 2026 年 8 月 1 日 开启为期 两周 的 信息安全意识提升计划,包括:
- 情景化案例演练:通过模拟内部横向移动攻击,让大家亲身感受“一步错、步步错”的危害。
- 微学习模块:每天 5 分钟的短视频、互动问答,覆盖 RDP/SSH、NTLM、SMB、Zero‑Trust 等关键要点。
- 个人安全风险评估:在线自测工具帮助每位员工了解自己的风险曝光度,并提供针对性整改建议。
- 红队实战观摩:邀请外部渗透团队现场演示横向移动全过程,回答现场提问。
报名方式:请登录公司内部门户,在 “安全培训” 模块点击 “立即报名”。完成报名的员工将在培训期间获得 “安全护航徽章”,并在年度绩效考评中获得 额外加分。
3. 让安全成为协同创新的助推器
在数字化转型的浪潮中,安全不再是阻碍,而是 创新的加速器。当每一位员工都具备 “安全先行” 的思维时,企业才能在 AI、物联网、云原生 的新技术应用上大胆尝试、快速落地,而不必担心“安全后门”。正如古语所云 “工欲善其事,必先利其器”,我们要让每个人的安全意识成为最锋利的“利器”。
五、结语:从“危机”到“机遇”,让安全共生于业务
- 危机:内部横向移动的高风险让企业在一次轻微的凭证泄露后,可能面临全盘失控的局面。
- 机遇:通过部署零信任、微分段、自动化检测与响应体系,结合全员安全意识提升,可将“攻击面”压缩到 “可控、可见、可响应” 的新高度。
让我们共同携手,把“网络暗礁”从潜伏的隐形杀手,转变为可被及时发现、快速遏制的“可控风险”。在即将开启的安全意识培训中,期待每一位同事都能收获 “知己知彼、百战不殆” 的防御能力,为公司在数智化浪潮中稳健前行保驾护航。
让安全成为每一次业务创新的底座,而不是阻碍的绊脚石。
安全共建,人人有责;
知识赋能,技术护航。
愿我们在数字化的星辰大海中,扬帆前行,却永不被暗礁所困。
信息安全意识培训

风险防护
昆明亭长朗然科技有限公司的服务范围涵盖数据保护、风险评估及安全策略实施等领域。通过高效的工具和流程,我们帮助客户识别潜在威胁并加以有效管理。欢迎您的关注,并与我们探讨合作机会。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898



