与所有技术一样，新工具是建立在以前的基础上的迭代，经典的网络日志记录和指标也不例外。

网络流量的工具、检测和监控在私有云和内部部署中几乎没有变化。今天使用的许多日志和指标已有将近二十年的历史，最初是为了解决计费等问题而设计的。

对交通流模式的可见性是一个额外的好处。流量记录恰好是经久不衰的用例。然而，这种对既定方法的依赖在网络和端口欺骗中留下了一些漏洞。

但什么是端口欺骗，为什么它很重要？

就像网络上的应用程序和数据可见性一样，现在使用的许多规则和 RFC 都是十多年前编写的，描述了某些东西“应该”如何工作，尽管没有真正的规则来强制执行。

这为很少使用的可能部署提供了很大的灵活性。当应用程序或服务配置错误或恶意行为者想要逃避检测时，即使对标准端口进行最细微的更改也会妨碍大多数当前的可见性和检测方案。

端口欺骗是一种众所周知的技术，MITRE ATT&CK 有一整个类别专门用于这种规避。

规避可见性的最常见和通用示例之一是在非标准端口上使用安全外壳 (SSH) 协议。SSH 通常分配给端口 22。

安全工具假定 SSH 流量将使用端口 22，并且世界上几乎每个安全团队都将该端口紧紧锁定。通常的做法是在外围封锁这个端口并称其为安全的。容易，对吧？

没那么快。如果坏人更改了 SSH 流量的默认端口怎么办？端口 443 广泛用于 HTTPS/TLS，并且几乎始终保持打开状态。

HTTPS 流量在现代企业中无处不在，适用于关键业务活动和个人活动。IT 防火墙不会定期阻止端口 443/HTTPS，因此使其成为攻击者的理想入口点。

更改 SSH 以在 443 上运行是一项简单的任务。有许多论坛提供了有关执行此操作的正当和不正当理由的详细说明。几乎所有现代云可见性工具都会报告流量，而不是实际情况。

即使是云中的工作负载也可能会错误识别自己的连接。活动的 SSH 会话可能会被误报为 TLS，因为 Linux 操作系统假定连接类型仅基于端口。

网络弄错了，操作系统工具也通过将此流量报告为已知已知来弄错。

如今，几乎所有流量都通过其 TCP 和 UDP 端口进行评估。这导致了关于流量性质的许多假设。在公共云、私有云和本地部署中都是如此。

在当今安全意识越来越强的世界中，对流量的性质做出假设并不像以前那样安全。SSH 是一个非常强大的工具，威胁参与者可以使用它在任何网络中进行文件传输、隧道和横向移动。

这只是一个工具如何有多种用途的一个例子。考虑到其他应用程序和协议，无法看到的实现变得令人望而生畏。MITRE 有自己的端口欺骗类别，而且这种趋势只会越来越大。

东西向流量也需要深度可观察性。下一代防火墙 (NGFW) 已经在边界点的本地解决了这个问题。然而，公共云是另一回事，这个问题尚未在东西方或横向规模上得到解决。

VPC 流日志只记录与端口号一起发生的对话，并不知道正在使用什么应用程序或协议。通过深度数据包检测进行深度观察可以调查对话，并可以正确识别正在使用的应用程序和协议。

公司称之为应用程序智能，目前在网络流量检测中识别了 5,000 多个应用程序、协议和属性。

应用程序元数据智能不仅会查看外部标头，还会更深入地查看数据包。我们深入研究了定义给定应用程序的数据包的独特特征。这称为深度可观察性。

如果攻击者通过 SSH 从同一子网中的工作负载 A 连接到工作负载 B，公司的深度可观察性管道会使用应用程序智能查看流量的真实情况并将其报告给安全工具。

在这种情况下，可以提醒技术人员在端口 443 上存在伪装成 Web 流量的 SSH 流量。这种可观察性的深度可以轻松跨越整个企业的东西方，包括公共云和容器到容器的通信。

在公共云中，深度数据包检测面临着一系列独特的挑战。没有广播，要检查流量，需要有一个安全 VPC 来引导流量通过或流量镜像。

第二个不太复杂的选项是将流量镜像到适当的工具。Gigamon 解决了第二个解决方案。好处包括降低部署复杂性和操作摩擦，而不会像在线检查路径那样损害性能。

众所周知，开发人员将继续快速运行，DevOps 将无意中部署未知或配置错误的应用程序，而威胁参与者将不断寻求利用这些漏洞来制造盲点。

SecOps 将尝试验证规则和保护措施，这只能通过具有网络衍生情报和洞察力的深度观察才能真正实现。

如果组织无法在非标准端口上检测到 SSH 的简单用例，那么其混合云基础架构中可能还潜伏着哪些其他已知的未知因素？