托管在云中的恶意内容比您想象的更常见。专家Ed Moyle研究了云恶意软件公司需要知道什么以及如何阻止它。
多年来,许多人都预测云将是革命性的。我们还看到这种预测正在变为现实:公司正在利用云为用户提供更多功能并降低运营支出,从而提高对业务的整体支持。总的来说,这种趋势非常积极。
但是,它也带来了一些潜在的不足。具体而言,云正在改变业务,但它也会改变那些非法活动(例如网络犯罪,为攻击者提供恶意软件或其他非法活动)。正如合法组织使用云来支持他们的业务一样,坏的也是如此。此外,我们看到有助于恶意活动或服务的网站数量增加。
然而,乔治亚理工学院的研究人员最近的一项研究系统地分析了云存储环境,并发现问题比大多数人想象的更为常见。特别是,他们发现,在云存储库中约10%已在某些方面受到了影响,其中包括分发点为恶意内容,允许组件快速加入恶意软件,以减少机会待检测;作为命令和控制手段,或以其他方式促进恶意活动。他们描述了如何在他们的文章“隐藏在云中的恶意:理解和检测云中的存储库作为恶意服务”中获取这个惊人的统计数据。
了解并检测云中的恶意内容。
理解这项研究的有用性有几个原因。首先,对于最终用户(如可以使用恶意的基于云计算的内容,从商业角度来看进攻组织),了解如何使用云进行恶意活动,帮助他们了解正在运行的威胁模式。这是保持对情况的认识的关键方面,随着智能安全技术的普及,我们可以收集的关于我们对手的任何信息都是有用的。
此外,了解攻击者如何使用云服务可以帮助开发检测或预防控制识别(最好避免)可能会影响公司的恶意活动。
其次,它对云服务提供商很有用。如果云提供商成为涉及恶意(非故意的)活动,不仅对云服务提供商的声誉可能造成的影响,也有潜在的直接的经济影响。
例如,当其他服务以恶意方式使用合法客户服务占用的网络带宽或存储时,就会发生这种情况。被盗的支付卡或其他犯罪活动可能会使服务提供商失去信誉,即使他们只是为使用资源付费。
正如本文所述,研究人员深入研究了他们称之为巴拉斯(储存不当)——例如什么,库云存储如亚马逊简单存储服务或包含恶意内容的谷歌驱动器。他们使用定制的探索工具(BarFinder)来定位这些存储库,这些存储库是作为本研究的一部分开发的。具体而言,他们从拓扑角度观察了合法和恶意云存储库之间的差异。他们创建了两组数据:Goodset(包含非恶意内容的合法云存储块)和Badset(已确认的一组恶意或损坏的块),并比较它们之间的差异。
根据恶意内容的特征,他们可以使用自动方法来确定内容是合法还是恶意。例如,用于逃避扫描程序检测的重定向(例如,使用代理或访问控制器)倾向于认为它是恶意内容,而直接访问内容往往会推断出访问是合法的。自动扫描(使用BarFinder)的方法以及内容的上下文和情境分析可以得出更多结论。
此外,扫描技术,可以在网站的恶意群体更加系统的检查:例如,检查这些网站一段时间来观察其业务的生命周期(发现领先供应商的速度),并观察逃生技术的有效性,使这些网站继续运作。
缓解并修复恶意内容。
虽然他们强调的问题值得注意,但对于大多数从业者而言,最实际的问题是最终用户组织可以采取哪些措施来保护自己。此外,云服务提供商可以做些什么来查找和消除这些恶意内容。
首先,本文档中描述的方法的适用性可能是云服务提供商的有用策略。此恶意内容以多种不同方式在服务提供商提供的云存储中创建漏洞。因此,他们发现使用这个有问题的问题的能力将产生经济影响。
此外,研究团队还指出,导致他们使用这种方法的挑战之一是(作为托管此内容的云服务提供商),他们可能无法更深入地检查内容本身。现在人们观察并注意到这个问题的普遍性,服务提供商可能希望扩展他们查找和标记这些内容的能力。
对于最终用户组织,直接影响可能不那么明显。当然,本研究的结果可能会提醒您必须了解上述威胁环境。此外,研究中用于评估内容的技术可用于制定对策。
然而,省力的大部分措施是双重的:首先,与服务提供商的云进行对话,以实现对组织所使用的服务缓解措施;第二,如果该组织认为适当的,它可以提供外围策略来控制员工访问不受信任的存储。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
