网络边界桥接

对手可能通过破坏外围网络设备或负责网络分段的内部设备来桥接网络边界。破坏这些设备可能使对手能够绕过流量路由限制，从而将受信任和不受信任的网络分开。 路由器和防火墙等设备可用于在受信任和不受信任的网络之间创建边界。它们通过限制流量类型来执行组织策略，以减少此类连接固有的风险。流量限制可以通过禁止 IP 地址、层 4 协议端口或通过深度包检测来识别应用程序来实现。为了与网络的其余部分进行通信，这些设备可以是直接可寻址的或透明的，但它们的操作模式对对手如何在被破坏时绕过它们没有影响。 当对手控制了这样的边界设备时，他们可以绕过其策略执行，将通常被禁止的流量跨越信任边界传输到两个分离的网络之间而不受阻碍。通过获得设备上的足够权限，对手可以重新配置设备以允许他们想要的流量，然后他们可以进一步实现目标，例如通过多跳代理进行命令和控制或通过流量复制进行数据外传。对手还可能针对负责网络分段的内部设备，并结合内部代理滥用这些设备以实现相同的目标。(引用: Kaspersky ThreatNeedle Feb 2021) 在边界设备分隔两个不同组织的情况下，对手还可以促进横向移动到新的受害者环境中。