與所有技術(shù)一樣，新工具都是在以前的基礎上進行迭代，經(jīng)典的網(wǎng)絡日志記錄和指標也不例外。

在私有云和內(nèi)部部署中，網(wǎng)絡流量的工具、儀器和監(jiān)控幾乎沒有變化?，F(xiàn)在使用的許多日志和指標都有近20年的歷史，最初是為了解決賬單等問題而設計的。

對交通流模式的可見性是一個額外的好處。流量日志恰好是經(jīng)久不衰的用例。然而，這種對既定方法的依賴在網(wǎng)絡和端口欺騙中留下了一些漏洞。

但是什么是端口欺騙，為什么它很重要?

就像網(wǎng)絡上的應用程序和數(shù)據(jù)可見性一樣，現(xiàn)在使用的許多規(guī)則和rfc都是在十多年前編寫的，描述了一些東西“應該”如何工作，盡管沒有真正的規(guī)則強制執(zhí)行。

這為很少使用的部署提供了很大的靈活性。當應用程序或服務配置錯誤或惡意參與者想要逃避檢測時，即使對標準端口進行最輕微的更改也會妨礙大多數(shù)當前的可見性和檢測方案。

端口欺騙是一種已知的技術(shù)，MITRE ATT&CK有一個專門針對這種規(guī)避的完整類別。

在非標準端口上使用安全外殼(SSH)協(xié)議是規(guī)避可見性的最常見和最通用的示例之一。SSH通常分配給端口22。

安全工具假定SSH流量將使用端口22，并且世界上幾乎每個安全團隊都嚴格鎖定該端口。常見的做法是在外圍阻止此端口，并將其稱為安全。很容易，對吧?

還沒那么快。如果惡意參與者更改了其SSH流量上的默認端口，該怎么辦?端口443廣泛用于HTTPS/TLS，并且?guī)缀蹩偸翘幱诖蜷_狀態(tài)。

HTTPS流量在現(xiàn)代企業(yè)中無處不在，無論是關(guān)鍵業(yè)務活動還是個人活動。IT防火墻不會例行公事地阻止端口443/HTTPS，因此使其成為攻擊者的理想入口點。

將SSH更改為在443上運行很簡單。有許多論壇提供了關(guān)于這樣做的合法和不合法原因的詳細說明。幾乎所有的現(xiàn)代云可見性工具都會如實報告流量，而不是實際情況。

即使是云中的工作負載也可能錯誤識別自己的連接。活動的SSH會話可能會被錯誤報告為TLS，因為Linux操作系統(tǒng)僅根據(jù)端口采用連接類型。

網(wǎng)絡會出錯，而操作系統(tǒng)工具也會出錯，因為它們會將此流量報告為已知流量。

如今，幾乎所有流量都由其TCP和UDP端口進行評估。這導致了對流量性質(zhì)的許多假設。在公共云、私有云和本地云中都是如此。

在當今越來越注重安全的世界里，對交通性質(zhì)做出假設已經(jīng)不像以前那么安全了。SSH是一種非常強大的工具，威脅參與者可以使用它在任何網(wǎng)絡上進行文件傳輸、隧道傳輸和橫向移動。

這只是一個工具可以有多種用途的一個例子?？紤]到其他應用和協(xié)議，意識到有多少東西是不可見的變得令人望而生畏。Mitre有自己的端口欺騙類別，而且這種趨勢只會越來越大。

東西交通也需要深入的可觀察性。下一代防火墻(NGFW)在周邊點內(nèi)部解決了這一問題。然而，公共云則是另一回事，這個問題尚未在東西方或橫向規(guī)模上得到解決。

VPC流日志僅記錄與端口號一起發(fā)生的對話，并不真正了解正在使用的應用程序或協(xié)議。具有深度數(shù)據(jù)包檢測的深度可觀察性可調(diào)查會話，并可以正確識別正在使用的應用程序和協(xié)議。

我的公司稱之為應用程序智能，它目前在網(wǎng)絡流量檢查中識別了5000多個應用程序、協(xié)議和屬性。

應用程序元數(shù)據(jù)智能不僅查看外部報頭，還更深入地查看數(shù)據(jù)包。我們深入研究定義給定應用程序的數(shù)據(jù)包的獨特特征。這被稱為深度可觀測性。

如果攻擊者通過SSH從同一子網(wǎng)中的工作負載A連接到工作負載B，我的公司的深度可觀察性管道會使用應用程序智能來查看流量的真實情況，并將其報告給安全工具。

在這種情況下，我們可以提醒技術(shù)人員端口443上有偽裝成Web流量的SSH流量。這種可觀察性的深度可以輕松地橫跨整個企業(yè)，包括公共云和集裝箱到集裝箱通信。

在公有云中，深度包檢測面臨著一系列獨特的挑戰(zhàn)。沒有廣播，要檢查流量，要么需要安全VPC來引導流量通過，要么需要流量鏡像。

第二個也是不太復雜的選項是將流量鏡像到適當?shù)墓ぞ?。Gigamon解決了第二個問題。好處包括減少部署復雜性和操作摩擦，而不會像在線檢測路徑那樣影響性能。

已知的情況是，開發(fā)人員將繼續(xù)快速運行，DevOps將無意中部署未知或錯誤配置的應用程序，威脅參與者將不斷尋求利用這些漏洞來創(chuàng)建盲區(qū)。

SecOps將嘗試驗證規(guī)則和保護，這只有通過網(wǎng)絡衍生的智能和洞察力的深度可觀察性才能真正實現(xiàn)。

如果一個組織無法在非標準端口上檢測到SSH的簡單用例，那么其混合云基礎設施中還可能潛藏著什么其他已知的未知因素呢?