全球关注:云可见性和端口欺骗:已知的未知因素
来源:千家网 发布时间:2023-04-06 15:57:15


(资料图片仅供参考)

与所有技术一样,新工具都是在以前的基础上进行迭代,经典的网络日志记录和指标也不例外。在私有云和内部部署中,网络流量的工具、仪器和监控几乎没有变化。现在使用的许多日志和指标都有近20年的历史,最初是为了解决账单等问题而设计的。对交通流模式的可见性是一个额外的好处。流量日志恰好是经久不衰的用例。然而,这种对既定方法的依赖在网络和端口欺骗中留下了一些漏洞。但是什么是端口欺骗,为什么它很重要?就像网络上的应用程序和数据可见性一样,现在使用的许多规则和rfc都是在十多年前编写的,描述了一些东西“应该”如何工作,尽管没有真正的规则强制执行。这为很少使用的部署提供了很大的灵活性。当应用程序或服务配置错误或恶意参与者想要逃避检测时,即使对标准端口进行最轻微的更改也会妨碍大多数当前的可见性和检测方案。端口欺骗是一种已知的技术,MITRE ATT&CK有一个专门针对这种规避的完整类别。在非标准端口上使用安全外壳(SSH)协议是规避可见性的最常见和最通用的示例之一。SSH通常分配给端口22。安全工具假定SSH流量将使用端口22,并且世界上几乎每个安全团队都严格锁定该端口。常见的做法是在外围阻止此端口,并将其称为安全。很容易,对吧?还没那么快。如果恶意参与者更改了其SSH流量上的默认端口,该怎么办?端口443广泛用于HTTPS/TLS,并且几乎总是处于打开状态。HTTPS流量在现代企业中无处不在,无论是关键业务活动还是个人活动。IT防火墙不会例行公事地阻止端口443/HTTPS,因此使其成为攻击者的理想入口点。将SSH更改为在443上运行很简单。有许多论坛提供了关于这样做的合法和不合法原因的详细说明。几乎所有的现代云可见性工具都会如实报告流量,而不是实际情况。即使是云中的工作负载也可能错误识别自己的连接。活动的SSH会话可能会被错误报告为TLS,因为Linux操作系统仅根据端口采用连接类型。网络会出错,而操作系统工具也会出错,因为它们会将此流量报告为已知流量。如今,几乎所有流量都由其TCP和UDP端口进行评估。这导致了对流量性质的许多假设。在公共云、私有云和本地云中都是如此。在当今越来越注重安全的世界里,对交通性质做出假设已经不像以前那么安全了。SSH是一种非常强大的工具,威胁参与者可以使用它在任何网络上进行文件传输、隧道传输和横向移动。这只是一个工具可以有多种用途的一个例子。考虑到其他应用和协议,意识到有多少东西是不可见的变得令人望而生畏。Mitre有自己的端口欺骗类别,而且这种趋势只会越来越大。东西交通也需要深入的可观察性。下一代防火墙(NGFW)在周边点内部解决了这一问题。然而,公共云则是另一回事,这个问题尚未在东西方或横向规模上得到解决。VPC流日志仅记录与端口号一起发生的对话,并不真正了解正在使用的应用程序或协议。具有深度数据包检测的深度可观察性可调查会话,并可以正确识别正在使用的应用程序和协议。我的公司称之为应用程序智能,它目前在网络流量检查中识别了5000多个应用程序、协议和属性。应用程序元数据智能不仅查看外部报头,还更深入地查看数据包。我们深入研究定义给定应用程序的数据包的独特特征。这被称为深度可观测性。如果攻击者通过SSH从同一子网中的工作负载A连接到工作负载B,我的公司的深度可观察性管道会使用应用程序智能来查看流量的真实情况,并将其报告给安全工具。在这种情况下,我们可以提醒技术人员端口443上有伪装成Web流量的SSH流量。这种可观察性的深度可以轻松地横跨整个企业,包括公共云和集装箱到集装箱通信。在公有云中,深度包检测面临着一系列独特的挑战。没有广播,要检查流量,要么需要安全VPC来引导流量通过,要么需要流量镜像。第二个也是不太复杂的选项是将流量镜像到适当的工具。Gigamon解决了第二个问题。好处包括减少部署复杂性和操作摩擦,而不会像在线检测路径那样影响性能。已知的情况是,开发人员将继续快速运行,DevOps将无意中部署未知或错误配置的应用程序,威胁参与者将不断寻求利用这些漏洞来创建盲区。SecOps将尝试验证规则和保护,这只有通过网络衍生的智能和洞察力的深度可观察性才能真正实现。如果一个组织无法在非标准端口上检测到SSH的简单用例,那么其混合云基础设施中还可能潜藏着什么其他已知的未知因素呢?

标签:

上一篇:

下一篇:

猜你喜欢

全球关注:云可见性和端口欺骗:已知的未知因素

什么是端口欺骗,为什么它很重要?更多

2023-04-06 15:57:15

元宇宙发展为何没达到预期效果?

尽管有传言和炒作,但现实是元宇宙并没有像许多人预测的那样起飞。事实上,可以说元宇宙未能完全实...更多

2023-04-06 16:12:14

通过智能建筑服务,实现可持续性和能源弹性

建筑环境的大部分排放来自其能源使用,或者更具体地说,来自其能源浪费。更多

2023-04-06 16:09:44

T-Mobile正在悄然打造光纤家庭互联网-微速讯

几年来,T-Mobile一直在建立其5G供电的家庭互联网服务,在许多领域,它是传统家庭互联网的可行替代...更多

2023-04-06 14:08:39

实践中的可持续性:净零之旅

在政府到2050年实现净零排放的目标中,企业发挥着至关重要的作用,无论是大型跨国企业还是独立的中...更多

2023-04-06 12:12:12

数字孪生技术如何改变FM 每日播报

数字孪生技术的创新——物理对象的虚拟表示,有可能在工作场所、资产和库存系统中创建操作丰富、连...更多

2023-04-06 11:11:01

气候与建筑:暖通空调和人工智能是未来办公室的游

商业空间的内部舒适度已经不仅仅是热或冷的情况。空气质量和室内环境的调节现已成为健康和安全问题...更多

2023-04-06 11:09:07

贝尔金(Belkin)放弃智能家居标准Matter | 关注

WeMo暂停Matter开发的举动,虽然这并不一定意味着新标准的厄运,但它确实表明智能家居在实现自由互...更多

2023-04-06 11:15:14

第二波5G:2023年30个国家推出服务

截至2023年1月,全球共有229个商用5G网络,超过700款5G智能手机可供用户使用。更多

2023-04-06 10:07:38

俄勒冈州法案:2027年,排放要求不达标的数据中心

该法案如果通过,将迫使大型数据中心到2027年将电力消耗的排放量减少60%,到2030年减少80%,到2035...更多

2023-04-04 18:15:34