Amikor a napló kevés, a hálózat elárul mindent
Különösen fontos kiemelni, hogy a felhőalapú naplók általában szolgáltatónként eltérőek, így a biztonsági szakértőknek csupán széttöredezett képet adnak a helyzetről. A megoldást a hálózati adatforgalom megfigyelése jelentheti, hiszen a hálózati réteg naplózása (telemetria) minden platformon következetes – függetlenül a szolgáltatótól. A legtöbb elemző már jól kiismeri magát a hagyományos hálózati naplókon, így a hasonló adatmegjelenítésű felhőnaplókkal hamar felismerik a gyanús mintákat. Ha mindezt a felhő-erőforrások címkéivel, tagságaival, valamint konténer- vagy projektazonosítókkal kombináljuk, egységes, szolgáltatófüggetlen biztonsági képet kapunk.
Dinamikus felhők, kiszámítható támadók
Bár a felhők összetettebbek, a támadók viselkedése jellemző mintázatokat követ. A forgalom megfigyelésével hamar kiszúrhatók például azok, akik szokatlan portokon keresztül kommunikálnak, vagy adminjogokat kihasználva próbálják kikapcsolni a host-szenzorokat. Tipikus figyelmeztető jel lehet egy-egy váratlan kapcsolat új régiókba, ismeretlen API-kkal, vagy a hirtelen megnövekvő kimenő adatforgalom. Különösen érdemes figyelni azokra a kriptobányász-programokra (coin miners), amelyek titokban kriptopénzt bányásznak ellopott erőforrásokkal, valamint a gyanúsan aktív konzol- és API-hozzáférésekre.
Mit és hogyan figyelj a felhőben?
A hatékony monitorozás azzal kezdődik, hogy engedélyezzük az adatfolyam-naplózást és a forgalomtükrözést. Ezután érdemes egy közös platformra gyűjteni az adatokat, ahol a napi forgalomhoz hozzáadjuk a projektek és erőforrások paramétereit. Érdemes viselkedési alapszintet felállítani – például szerepkör, szolgáltatás, port és külső partner szerint –, és onnan fokozatosan finomítani a szűrést, hogy ne vesszenek el a valódi anomáliák.
Az összes bejövő és kimenő forgalmat – keleti–nyugati (east–west), északi–déli (north–south) – figyelni kell. Gépi tanulással támogatott elemzés során ki lehet szúrni a konténerek váratlan eltéréseit, TLS-metaadatokkal feltárhatók ismeretlen végpontok, a DNS-naplókból pedig kiszűrhető a rosszindulatú domainekkel való kommunikáció.
A hálózati átláthatóság elengedhetetlen
Különösen fontos kiemelni: szükség van folyamatos validációra és próbariadókra, hogy kiderüljön, valóban észlelhetők-e az adatlopó eszközök, bányászok, C2-kapcsolatok vagy gyanús admintevékenységek. Ahogy a támadók egyre gyakrabban használnak MI-eszközöket a védelmi rendszerek kicselezésére, a hálózati szintű átláthatóság többé nem lehetőség: alapjaiban határozza meg, meg lehet-e állítani a támadásokat időben – akár helyszíni környezetben, akár a felhőben.
