關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
顯示分類
2026.02.06
標準與框架/資安管理
當雲端日誌不足時,網路會揭示真相

雲的簡單性錯覺

「別擔心安全問題,雲端會保護你!」雲端遷移常被承諾安全問題會「自動解決」。實際上,動態基礎架構、重疊的 API、容器蔓延和多雲架構為安全團隊帶來了新的盲點和攻擊面。

由於常見的攻擊現在也能繞過 EDR 工具,防禦者們正在重新審視一個熟悉的教訓:雲端防禦與網路防禦一樣,需要流量可見性。

分析師優勢與資料標準化挑戰

每個提供者使用的欄位和結構都不同,雲端原生日誌的標準化可能很複雜。Corelight 的現場首席技術長 Vince Stoffer 表示:我們的雲端研究團隊了解,大量的 API 呼叫以及雲端提供者不斷增加的新服務,使得日誌標準化和分析成為一個真正的挑戰。這種碎片化凸顯了網路遙測的重要性——它是不同供應商和環境之間保持一致的共同點。

幸運的是,大多數網路安全分析師已經熟悉如何分析網路數據,因此當雲端遙測數據以類似方式呈現時,他們可以快速發現異常或可疑模式。再加上雲端清單情境(例如,帳戶、項目、VPC/VNet 和叢集/Pod 標籤),這些資訊共同構成了一個通用的、與提供者無關的訊號,便於偵測和調查。

網路偵測與回應 (NDR) 的優點就在於此,它能夠跨多雲和混合雲環境提供一致的即時可見性,並實現不同環境間遙測資料的標準化。 

在動態雲環境中偵測敵對模式

隨著雲端部署變得越來越動態和複雜,安全基本原則卻不會改變。即使是短暫的工作負載,其通訊模式依然穩定,使用的連接埠也相對可預測。防禦者可以關注的可靠訊號包括:

  1. 敵方透過外部通信,利用非常規連接埠或網路協定竊取資料或維持指揮控制(C2)連接
  2. 生產環境容器和託管服務中的偏差,通常在部署後是不可變且一致的。
  3. 擁有管理員權限的攻擊者會停用基於主機的感測器和容器執行時間監控感測器。
  4. 系統或服務之間出現異常枚舉或發現活動跡象,可能表示敵對勢力正在繪製資源

透過使用流量鏡像和虛擬分流,網路級遙測資料擷取具有很強的防篡改性,並且能夠提供獨立於主機完整性的可見性。將網路數據與端點數據以及容器運行時數據相結合,可以獲得進程級上下文信息,從而彌補雲原生安全性的不足,並提高動態雲環境中的檢測精度。那麼,在受監控的雲端網路流量中可以看到哪些類型的威脅呢?

  1. 供應鏈漏洞:惡意容器映像和軟體包會投放加密貨幣挖礦程序,向礦池發送信標。
  2. 資訊竊取者主導的入侵:竊取的憑證或會話令牌允許存取控制台/API
  3. 在容器中使用互動式管理工具(例如SSH、RDP 或 VNC)在不可變的生產環境中通常令人懷疑,尤其是在容器之間。
  4. 濫用託管服務和資料出口:連接到新區域、使用不熟悉的 API 或出站流量突然激增都可能是攻擊的訊號。
  5. 挖礦者與礦池通訊:挖礦者濫用被入侵的雲端資源挖掘加密貨幣

如果您認同網路監控是雲端安全的關鍵,那麼下一個問題是“您應該監控什麼?”

  1. 東西向和南北向流量:雲端內部通訊(服務間、節點間)和網際網路入口/出口
  2. 容器流量(Kubernetes)在應用程式部署後識別偏差
  3. TLS 元資料(SNI、憑證主題)用於揭示託管服務端點並支援服務感知基線
  4. DNS資料用於識別與惡意網域和網路隧道的通信
  5. 用於廣度和流量鏡像的流日誌/用於深度流量的資料包捕獲

下一步是建立高效率的工作流程:

  1. 首先啟用串流日誌和流量鏡像,並記錄它們的延遲和保真度,以便了解每個來源可以告訴您什麼以及不能告訴您什麼。
  2. 將雲端網路遙測資料提取到單一平台,進行標準化,並使用雲端清單和標籤對其進行豐富,以便上下文隨資料一起傳遞。
  3. 依角色、服務、連接埠和已知的外部對等方建立並調整基準。從最關鍵的服務開始,然後迭代優化,在不丟失真實漂移訊號的情況下降低雜訊。針對新的目標、連接埠或協定發出警報。
  4. 嚴密監控出站流量。透過對 VPC/VNet 出站流量進行監控,覆蓋流量瓶頸。在容器平台中新增節點層級視圖,以尋找新發現的網域名稱或 IP 位址、異常目標位址、週期性信標訊號和低速傳輸,以及特定時間段或流量峰值。
  5. 透過 TLS 元資料分析託管服務存取權限;針對每個工作負載首次發現的 API、端點或區域發出警報。
  6. 尋找礦工蹤跡:與已知礦池的連接和特徵協議。
  7. 標記容器中的互動式協定(SSH/RDP/VNC)和叢集內的橫向移動模式。
  8. 關聯終端入侵:如果用戶設備遭到入侵,則轉向雲端出口,以配合基礎設施和行為。

透過持續驗證來保持誠實——模擬對手,以確認你能偵測到資訊竊取者、加密貨幣挖礦、C2 和可疑的管理員行為。將永恆的網路原則應用於現代架構,多雲安全性完全可以實現。

隨著攻擊者利用人工智慧繞過可信任控制,網路可見性不再是可選項——它是了解您的環境並在異常情況演變成事件之前捕獲威脅的基礎,無論是在地面還是在雲端。

本文的靈感來自 Corelight 策略師兼駐地作家 Richard Bejtlich 與 Corelight 雲端安全研究員 David Burkett 在 Corelight DefeNDR 播客系列節目中的對話。

資料來源:https://www.bleepingcomputer.com/news/security/when-cloud-logs-fall-short-the-network-tells-the-truth/
 
探討為何雲端遷移帶來的複雜性會造成監控盲點,以及如何利用網路流量(Network Telemetry)補足日誌的不足,建立全方位的雲端可視化防禦體系,確保企業資產在動態變化的雲端環境中免受進階攻擊。