Scroll untuk baca artikel
Home Networking Ketika log cloud gagal, jaringan mengatakan yang sebenarnya
Networking

Ketika log cloud gagal, jaringan mengatakan yang sebenarnya

Sponsored by Corelight5 min read
22
×

Ketika log cloud gagal, jaringan mengatakan yang sebenarnya

Share this article
ketika-log-cloud-gagal,-jaringan-mengatakan-yang-sebenarnya
Ketika log cloud gagal, jaringan mengatakan yang sebenarnya

Header keamanan cloud Corelight

Poin-poin penting

Example 300x600

  • Migrasi cloud sering kali menciptakan titik buta, sehingga visibilitas real-time menjadi penting untuk pertahanan siber

  • Telemetri lapisan jaringan dapat mengatasi inkonsistensi log cloud

  • Mengikuti langkah-langkah untuk memantau dan mengoperasionalkan visibilitas dapat meningkatkan pertahanan

  • Artikel ini terinspirasi oleh podcast Corelight DefeNDRs. Dengarkan di sini.

Ilusi kesederhanaan cloud

“Jangan khawatir tentang keamanan, cloud siap membantu Anda!”

Migrasi cloud sering kali dijanjikan dengan keamanan yang “akan berjalan dengan sendirinya”.

Dalam praktiknya, infrastruktur dinamis, API yang tumpang tindih, perluasan container, dan arsitektur multi-cloud telah menciptakan titik buta dan permukaan serangan baru yang harus dilindungi oleh tim keamanan.

Karena serangan-serangan umum kini juga dapat menghindari alat-alat EDR, para pembela HAM meninjau kembali pelajaran yang lazim: pertahanan cloud, seperti pertahanan jaringan, memerlukan visibilitas lalu lintas.

Keuntungan analis dan tantangan normalisasi data

Standarisasi log cloud-native bisa jadi rumit karena setiap penyedia menggunakan bidang dan struktur yang berbeda.

“Tim peneliti cloud kami memahami bagaimana banyaknya panggilan API dan penambahan layanan baru secara terus-menerus di seluruh penyedia cloud membuat standarisasi dan analisis log menjadi tantangan nyata,” kata Vince Stoffer, CTO lapangan di Corelight.

Fragmentasi ini menggarisbawahi pentingnya telemetri jaringan—persamaan umum yang tetap konsisten di seluruh penyedia dan lingkungan.

Untungnya, sebagian besar analis keamanan siber sudah terbiasa melihat data jaringan, sehingga ketika telemetri cloud diungkapkan dengan cara yang sama, mereka dapat dengan cepat menemukan pola yang aneh atau mencurigakan. Tambahkan konteks inventaris cloud (yaitu, akun, proyek, VPC/VNet, dan label klaster/pod), dan secara bersamaan, hal ini menciptakan sinyal umum yang tidak bergantung pada penyedia untuk deteksi dan penyelidikan.

Di sinilah deteksi dan respons jaringan (NDR) bersinar. Teknologi ini memberikan visibilitas yang konsisten dan real-time di seluruh multi-cloud dan hybrid-cloud serta menormalkan telemetri antar lingkungan.

Mendeteksi pola musuh di lingkungan cloud yang dinamis

Seiring dengan berkembangnya penerapan cloud yang semakin dinamis dan kompleks, fundamental keamanan tidak berubah. Bahkan beban kerja jangka pendek pun masih berkomunikasi dalam pola yang stabil dan menggunakan port yang dapat diprediksi. Sinyal-sinyal yang bisa diandalkan oleh para pembela HAM meliputi:

  • Musuh berkomunikasi secara eksternal untuk mengeksfiltrasi data atau memelihara C2 melalui port atau protokol jaringan yang tidak biasa

  • Penyimpangan dalam kontainer produksi dan layanan terkelolayang biasanya tidak dapat diubah dan konsisten setelah penerapan

  • Musuh dengan akses admin menonaktifkan sensor berbasis host dan sensor pemantauan waktu proses kontainer

  • Tanda-tanda pencacahan atau penemuan yang tidak biasa aktivitas antar sistem atau layanan yang mungkin mengindikasikan musuh memetakan sumber daya

Dengan menggunakan pencerminan lalu lintas dan ketukan virtual, pengumpulan telemetri tingkat jaringan sebagian besar tahan terhadap gangguan dan menawarkan visibilitas yang tidak bergantung pada integritas host. Menggabungkan data jaringan dengan data titik akhir, dan data waktu proses kontainer untuk konteks tingkat proses dapat mengisi kesenjangan dalam keamanan cloud-native dan meningkatkan akurasi deteksi di lingkungan cloud yang dinamis. Jadi, jenis ancaman apa yang terlihat pada lalu lintas jaringan cloud yang dipantau?

  • Kompromi dalam rantai pasok: Gambar dan paket container berbahaya yang menjatuhkan cryptominers ke pool

  • Intrusi yang dipimpin oleh Infostealer: Kredensial atau token sesi yang dicuri memungkinkan akses konsol/API

  • Peralatan admin interaktif dalam container: SSH, RDP, atau VNC di lingkungan produksi yang tidak dapat diubah sering kali mencurigakan, terutama antar container

  • Penyalahgunaan layanan terkelola dan data keluar: Koneksi ke wilayah baru, API asing, atau lonjakan volume keluar yang tiba-tiba dapat menandakan adanya serangan

  • Coinminers berkomunikasi dengan kumpulan penambangan: Coinminers menyalahgunakan sumber daya cloud yang disusupi untuk menambang mata uang kripto

Jika Anda menerima bahwa pemantauan jaringan adalah kunci keamanan cloud, pertanyaan berikutnya adalah “Apa yang harus Anda pantau?”

  • Lalu lintas timur-barat dan utara-selatan: komunikasi intra-cloud (layanan-ke-layanan, node-ke-node) dan masuk/keluar internet

  • Lalu lintas kontainer (Kubernetes) mengidentifikasi penyimpangan setelah penerapan aplikasi

  • Metadata TLS (SNI, subjek sertifikat) untuk mengungkap titik akhir layanan terkelola dan mendukung garis dasar yang sadar akan layanan

  • Data DNS untuk mengidentifikasi komunikasi dengan domain berbahaya dan terowongan jaringan

  • Log aliran untuk luasnya dan pencerminan lalu lintas/pcap untuk kedalaman

Langkah selanjutnya adalah membangun alur kerja yang efektif:

  • Mulailah dengan mengaktifkan log arus dan pencerminan lalu lintasdan catat latensi dan fidelitasnya sehingga Anda mengetahui apa yang dapat dan tidak dapat diberitahukan oleh setiap sumber kepada Anda.

  • Tarik telemetri jaringan cloud ke dalam satu platform, standarisasikan, dan perkaya dengan inventaris dan tag cloud sehingga konteks dapat berpindah bersama data.

  • Tetapkan dan sesuaikan garis dasar berdasarkan peran, layanan, port, dan rekan eksternal yang dikenal. Mulailah dengan layanan Anda yang paling penting, lalu lanjutkan untuk mengurangi kebisingan tanpa kehilangan sinyal penyimpangan yang sebenarnya. Peringatan tentang tujuan, port, atau protokol baru

  • Pantau jalan keluar rapat. Tutupi titik hambatan Anda dengan melengkapi jalan keluar VPC/VNet. Tambahkan sudut pandang tingkat node di platform kontainer Anda untuk mencari domain atau IP yang baru diamati dan tujuan yang tidak biasa, suar berkala dan transfer yang lambat dan lambat, serta lonjakan waktu atau volume

  • Akses layanan terkelola profil melalui metadata TLS; peringatan pada API, titik akhir, atau wilayah yang pertama kali dilihat per beban kerja.

  • Perburuan jejak kaki penambang: koneksi ke kumpulan yang dikenal dan protokol karakteristik

  • Tandai protokol interaktif dalam kontainer (SSH/RDP/VNC) dan pola pergerakan lateral dalam cluster

  • Korelasikan kompromi titik akhir: jika perangkat pengguna dibobol, beralihlah ke cloud egress untuk mencocokkan infrastruktur dan perilaku

Dan jaga kejujuran Anda dengan validasi berkelanjutan—tiru musuh untuk mengonfirmasi bahwa Anda dapat mendeteksi pencuri informasi, penambangan kripto, C2, dan perilaku admin yang mencurigakan.

Keamanan multi-cloud lebih dari dapat dicapai bila Anda menerapkan prinsip-prinsip jaringan abadi pada arsitektur modern.

Saat penyerang bersandar pada AI dan lolos dari kendali tepercaya, visibilitas jaringan bukanlah sebuah pilihan— visibilitas merupakan landasan untuk memahami lingkungan Anda dan menangkap ancaman sebelum anomali menjadi insiden, baik di lapangan maupun di cloud.

Disponsori dan ditulis oleh cahaya inti.

Post Views: 22

Read Also