云可見性和端口欺騙：已知的未知因素

　　與所有技術(shù)一樣，新工具都是在以前的基礎(chǔ)上進(jìn)行迭代，經(jīng)典的網(wǎng)絡(luò)日志記錄和指標(biāo)也不例外。

　　在私有云和內(nèi)部部署中，網(wǎng)絡(luò)流量的工具、儀器和監(jiān)控幾乎沒有變化�，F(xiàn)在使用的許多日志和指標(biāo)都有近20年的歷史，最初是為了解決賬單等問題而設(shè)計(jì)的。

　　對交通流模式的可見性是一個(gè)額外的好處。流量日志恰好是經(jīng)久不衰的用例。然而，這種對既定方法的依賴在網(wǎng)絡(luò)和端口欺騙中留下了一些漏洞。

　　但是什么是端口欺騙，為什么它很重要?

　　就像網(wǎng)絡(luò)上的應(yīng)用程序和數(shù)據(jù)可見性一樣，現(xiàn)在使用的許多規(guī)則和rfc都是在十多年前編寫的，描述了一些東西“應(yīng)該”如何工作，盡管沒有真正的規(guī)則強(qiáng)制執(zhí)行。

　　這為很少使用的部署提供了很大的靈活性。當(dāng)應(yīng)用程序或服務(wù)配置錯(cuò)誤或惡意參與者想要逃避檢測時(shí)，即使對標(biāo)準(zhǔn)端口進(jìn)行最輕微的更改也會(huì)妨礙大多數(shù)當(dāng)前的可見性和檢測方案。

　　端口欺騙是一種已知的技術(shù)，MITRE ATT&CK有一個(gè)專門針對這種規(guī)避的完整類別。

　　在非標(biāo)準(zhǔn)端口上使用安全外殼(SSH)協(xié)議是規(guī)避可見性的最常見和最通用的示例之一。SSH通常分配給端口22。

　　安全工具假定SSH流量將使用端口22，并且世界上幾乎每個(gè)安全團(tuán)隊(duì)都嚴(yán)格鎖定該端口。常見的做法是在外圍阻止此端口，并將其稱為安全。很容易，對吧?

　　還沒那么快。如果惡意參與者更改了其SSH流量上的默認(rèn)端口，該怎么辦?端口443廣泛用于HTTPS/TLS，并且?guī)缀蹩偸翘幱诖蜷_狀態(tài)。

　　HTTPS流量在現(xiàn)代企業(yè)中無處不在，無論是關(guān)鍵業(yè)務(wù)活動(dòng)還是個(gè)人活動(dòng)。IT防火墻不會(huì)例行公事地阻止端口443/HTTPS，因此使其成為攻擊者的理想入口點(diǎn)。

　　將SSH更改為在443上運(yùn)行很簡單。有許多論壇提供了關(guān)于這樣做的合法和不合法原因的詳細(xì)說明。幾乎所有的現(xiàn)代云可見性工具都會(huì)如實(shí)報(bào)告流量，而不是實(shí)際情況。

　　即使是云中的工作負(fù)載也可能錯(cuò)誤識別自己的連接。活動(dòng)的SSH會(huì)話可能會(huì)被錯(cuò)誤報(bào)告為TLS，因?yàn)長inux操作系統(tǒng)僅根據(jù)端口采用連接類型。

　　網(wǎng)絡(luò)會(huì)出錯(cuò)，而操作系統(tǒng)工具也會(huì)出錯(cuò)，因?yàn)樗鼈儠?huì)將此流量報(bào)告為已知流量。

　　如今，幾乎所有流量都由其TCP和UDP端口進(jìn)行評估。這導(dǎo)致了對流量性質(zhì)的許多假設(shè)。在公共云、私有云和本地云中都是如此。

　　在當(dāng)今越來越注重安全的世界里，對交通性質(zhì)做出假設(shè)已經(jīng)不像以前那么安全了。SSH是一種非常強(qiáng)大的工具，威脅參與者可以使用它在任何網(wǎng)絡(luò)上進(jìn)行文件傳輸、隧道傳輸和橫向移動(dòng)。

　　這只是一個(gè)工具可以有多種用途的一個(gè)例子�？紤]到其他應(yīng)用和協(xié)議，意識到有多少東西是不可見的變得令人望而生畏。Mitre有自己的端口欺騙類別，而且這種趨勢只會(huì)越來越大。

　　東西交通也需要深入的可觀察性。下一代防火墻(NGFW)在周邊點(diǎn)內(nèi)部解決了這一問題。然而，公共云則是另一回事，這個(gè)問題尚未在東西方或橫向規(guī)模上得到解決。

　　VPC流日志僅記錄與端口號一起發(fā)生的對話，并不真正了解正在使用的應(yīng)用程序或協(xié)議。具有深度數(shù)據(jù)包檢測的深度可觀察性可調(diào)查會(huì)話，并可以正確識別正在使用的應(yīng)用程序和協(xié)議。

　　我的公司稱之為應(yīng)用程序智能，它目前在網(wǎng)絡(luò)流量檢查中識別了5000多個(gè)應(yīng)用程序、協(xié)議和屬性。

　　應(yīng)用程序元數(shù)據(jù)智能不僅查看外部報(bào)頭，還更深入地查看數(shù)據(jù)包。我們深入研究定義給定應(yīng)用程序的數(shù)據(jù)包的獨(dú)特特征。這被稱為深度可觀測性。

　　如果攻擊者通過SSH從同一子網(wǎng)中的工作負(fù)載A連接到工作負(fù)載B，我的公司的深度可觀察性管道會(huì)使用應(yīng)用程序智能來查看流量的真實(shí)情況，并將其報(bào)告給安全工具。

　　在這種情況下，我們可以提醒技術(shù)人員端口443上有偽裝成Web流量的SSH流量。這種可觀察性的深度可以輕松地橫跨整個(gè)企業(yè)，包括公共云和集裝箱到集裝箱通信。

　　在公有云中，深度包檢測面臨著一系列獨(dú)特的挑戰(zhàn)。沒有廣播，要檢查流量，要么需要安全VPC來引導(dǎo)流量通過，要么需要流量鏡像。

　　第二個(gè)也是不太復(fù)雜的選項(xiàng)是將流量鏡像到適當(dāng)?shù)墓ぞ�。Gigamon解決了第二個(gè)問題。好處包括減少部署復(fù)雜性和操作摩擦，而不會(huì)像在線檢測路徑那樣影響性能。

　　已知的情況是，開發(fā)人員將繼續(xù)快速運(yùn)行，DevOps將無意中部署未知或錯(cuò)誤配置的應(yīng)用程序，威脅參與者將不斷尋求利用這些漏洞來創(chuàng)建盲區(qū)。

　　SecOps將嘗試驗(yàn)證規(guī)則和保護(hù)，這只有通過網(wǎng)絡(luò)衍生的智能和洞察力的深度可觀察性才能真正實(shí)現(xiàn)。

　　如果一個(gè)組織無法在非標(biāo)準(zhǔn)端口上檢測到SSH的簡單用例，那么其混合云基礎(chǔ)設(shè)施中還可能潛藏著什么其他已知的未知因素呢?