托管在云中的恶意内容比您想象的更常见。专家Ed Moyle研究了云恶意软件公司应该知道什么以及如何阻止它。
多年来,许多人都预测云将是革命性的。我们还看到,这个预言正在成为现实:企业正在利用云为用户提供更多功能的用户,并降低运营成本,提高广大企业的支持。总的来说,这种趋势非常积极。
但是,它也带来了一些潜在的不足。具体而言,云计算正在改变业务,同时也改变了这些非法活动(如网络犯罪,提供攻击者的恶意软件或其他非法行为)。正如合法组织使用云来支持他们的业务一样,坏的也是如此。此外,我们看到有助于恶意活动或服务的网站数量增加。
然而,乔治亚理工学院的研究人员最近的一项研究系统地分析了云存储环境,并发现问题比大多数人想象的更为常见。特别是,他们发现,在云存储库中约10%已在某些方面受到了影响,其中包括分发点为恶意内容,使得组件可以快速满足恶意软件,以减少机会待检测;作为命令和控制手段,或以其他方式促进恶意活动。他们描述了如何获得在他的文章中这样惊人的统计数字“隐藏在云Malicioso:了解和发现云存储库为恶意的服务。”
了解并检测云中的恶意内容。
理解这项研究的有用性有几个原因。首先,对于最终用户(如可以使用恶意的基于云计算的内容,从商业角度来看进攻组织),了解如何使用云进行恶意活动,帮助他们了解正在运行的威胁模式。这是为了保持态势感知的关键,并与智能安全技术方面的普及,我们会收集有关对手任何信息是有用的。
此外,了解攻击者如何使用云服务可以帮助开发检测或预防控制,以识别(理想地防止)可能影响公司的恶意活动。
其次,它对云服务提供商很有用。如果云提供商成为恶意活动的参与者(无意中),他们不仅会对云提供商的声誉产生可能的影响,而且还会产生直接的经济影响。
例如,当其他服务以恶意方式使用合法客户服务占用的网络带宽或存储时,就会发生这种情况。被盗的支付卡或其他犯罪活动可能会使服务提供商失去信誉,即使他们只是为使用资源付费。
如文档中所述,研究人员深入研究了他们所谓的Barras(不正确的存储)——例如,包含恶意内容的Amazon Simple Storage Service或Google Drive等云存储库。他们使用自定义开发的扫描工具(BarFinder)来定位这些存储库,这些存储库是作为本研究的一部分开发的。具体而言,他们从拓扑角度观察了合法和恶意云存储库之间的差异。他们创建了两组数据:Goodset(包含非恶意内容的合法云存储块)和Badset(已确认的一组恶意或损坏的块),并比较它们之间的差异。
根据恶意内容的特征,他们可以使用自动方法来确定内容是合法还是恶意。例如,使用重定向由扫描器逃避检测(例如,使用代理或关守)倾向于认为是恶意的内容,同时向内容的直接访问倾向来推断这样的访问是合法的。自动扫描(使用BarFinder)的方法以及内容的上下文和情境分析可以得出更多结论。
此外,扫描技术,能够更加系统网站的恶意组检查:例如,检查这些网站一段时间来观察其业务的生命周期和观察(供应商的发现率较高) 。允许这些站点继续运行的逃逸技术的有效性。
缓解并修复恶意内容。
虽然他们强调的问题值得注意,但对于大多数从业者而言,最实际的问题是最终用户组织可以采取哪些措施来保护自己。此外,云服务提供商可以做些什么来查找和消除这些恶意内容。
首先,本文档中描述的方法的适用性可能是云服务提供商的有用策略。此恶意内容以多种不同方式在服务提供商提供的云存储中创建漏洞。因此,他们发现使用这个有问题的问题的能力将产生经济影响。
此外,研究小组还指出,导致他们使用这种方法的一个挑战是,(作为服务提供商的云托管该内容),你可能无法再进一步检查内容。现在人们观察并注意到这个问题的普遍性,服务提供商可能希望扩展他们查找和标记这些内容的能力。
对于最终用户组织,直接影响可能不那么明显。当然,本研究的结果可能会提醒您了解上述威胁环境。此外,研究中用于评估内容的技术可用于制定对策。
但是,大多数节省劳力的措施有两个方面:第一,与云服务提供商进行对话,以实施组织使用的服务的缓解措施;第二,如果组织认为这样做如果合适,它可以提供外围策略来控制员工对不受信任存储的访问。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
