WannaCry警示:学会检测和减轻云端恶意内容

日期:2017-5-17作者:Ed Moyle翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

托管在云中的恶意内容比您想象的更常见。专家Ed Moyle研究了云恶意软件企业需要了解的内容以及如何阻止它。

多年来许多人都预测到了云将是革命性的。我们也已经看到了这一预测正在成为现实:企业正在利用云更快地为用户提供更多的功能,并减少运营开销,从而全面加强对业务的支持。总的来说,这一趋势是极其正面的。

然而,也带来了一些潜在的缺点。具体来说,云在让业务普遍发生变革的同时,也改变着那些不法行为(比如,网络犯罪,为攻击者或其他违法活动提供恶意软件)。正如合法组织采用云来支持业务一样,那些坏家伙也是如此。而且,我们已经看到了辅助恶意活动即服务的网站正在增加。

云恶意软件——即利用云来协助分发、指挥和控制受损系统或规避现有的安全控制措施——并不是什么新鲜事物。

然而,佐治亚理工大学研究人员最近的一项研究系统地分析了云存储环境,发现问题比大多数人所认为的更为普遍。特别是,他们发现大约10%的云存储库已经以某种方式受到影响;这包括作为恶意内容的分发点;使得组件能够快速组装成恶意软件,以降低被检测到的几率;作为指挥和控制媒介;或以其他方式为恶意活动提供便利。他们在他们的文章“隐藏恶意于云中:了解和检测云存储库作为恶意服务”的文章中简述了得到这一惊人统计的方法。

了解和检测云中恶意内容

了解这项研究有用的原因有几个。首先,对于终端用户(例如可能在业务端使用云端恶意内容进行攻击的组织),理解如何使用云进行恶意活动有助于他们了解其运行的威胁形态。这是维护情境意识的一个关键方面,而且随着智能驱动安全技术的普及,我们可以收集到的有关对手的任何信息都是有用的。

此外,了解攻击者如何使用云服务可以帮助开发出检测或预防控制来标识(理想情况下预防)可能潜在的影响企业的恶意活动。

其次,它对云服务供应商有用。如果云供应商成为恶意活动的参与者(无意中成为这样),不仅会对云供应商造成潜在的声誉影响,而且也会带来可能的直接经济影响。

例如,这可能发生在本该被合法客户服务所占用的网络带宽或存储反而被其他服务恶意使用的情况。即使只有使用资源才会付费的情况下,被盗的付款卡或其他犯罪活动也可能导致服务供应商名誉扫地。

正如他们在论文中描述的那样,研究人员深入研究了它们称之为Bars(不良存储库)——例如包含了恶意内容的Amazon Simple Storage Service或Google Drive等的云存储库。他们使用定制开发的扫描工具(BarFinder)来定位这些存储库,它们是作为本次研究的一部分开发的。

具体来说,他们从拓扑的角度考察了恶意和合法云存储库之间的差异。他们通过创建两组数据:一个Goodset(包含非恶意内容的合法云存储块)和一个Badset(一组已确认的恶意的或受损的块),并比较它们之间的差异。

根据恶意内容的特点,他们能够使用自动化方法来确定内容是合法的还是恶意的。例如,用于逃避被扫描仪发现的重定向(例如,使用代理或Gatekeeper)倾向于认为这是恶意内容,而对内容的直接访问则倾向于支持推断这种访问是合法的。自动扫描方法(使用BarFinder)以及对内容的语境和情形分析,可以进一步得出结论。

此外,利用扫描技术,他们能够对恶意群体中的站点进行更系统的检查:例如,通过一段时间的对这些站点进行重新访问来观察其运行的生命周期(突出提供者的发现率),以及观察允许这些网站继续经营的逃避技术的有效性。

缓解和补救恶意内容

虽然他们强调的问题本身值得注意,但对于大多数从业者来说,更实际的问题是终端用户组织可以做些什么来保护自己。而且,云服务供应商可以做些什么来查找和删除这些恶意内容。

首先,本文描述的方法的适用性可能对云服务供应商来说是一个有用的策略。这种恶意内容以几种不同的方式在服务供应商提供的云存储上制造漏洞。因此,他们发现这种有问题用法的能力会最终在经济上造成影响。

除此之外,研究团队还注意到,导致他们使用此方法的挑战之一是,(作为托管此内容的云服务供应商)他们可能无法对内容本身进行更深入的检查。现在人们已经观察并注意到这一问题的普遍性,服务供应商可能希望扩展他们找到并标记这个内容的能力。

对于终端用户组织而言,直接影响可能并不是那么明显。当然,这一研究结果可以提醒他们理解前文所述的威胁环境。此外,研究中所使用的用于评估内容的技术可以用于制定对策。

然而,最省力的措施有两方面:首先,与云服务供应商展开对话,对组织所采用的服务实施缓解措施;其次,如果组织认为恰当,可以提供外围策略,控制员工访问不受信任的存储库。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

云的数据保护>更多

相关推荐

技术手册>更多

  • 私有云实施前准备

    越来多的企业倾向于私有云的选择,因为他们既想要利用云计算的优势,但又不想因为采用公有云,而被迫放弃他们手中的控制权,因此私有云变得越来越受欢迎。

  • 购买云服务注意事项指南

    如果你需要数据中心有更多的计算或存储容量,但资本费用却成问题,那么公共云计算服务是一个很不错的选择。你可以根据需要获得可无限扩展的IT资源,只要为实际使用的那部分付费。但是在公共云中运行企业应用程序并不像有些提供商所说的那么简单。这本指南中的这些实用的指导准则探讨了购买云服务时要考虑的方面以及要提出的问题。

  • 微软三大云计算产品全概览PDF下载

    中国企业对“Azure”是既熟悉又陌生。熟悉是因为Azure平台在微软云战略中占有举足轻重的地位;陌生是因为在国内还没有任何Azure平台商用的实施案例。

  • 企业私有云实施案例与技巧

    大型企业可以率先构建私有云,但是企业私有云实施方面有哪些可供借鉴的案例?企业在构建私有云过程中又有哪些需要遵从的技巧和原则呢?本技术手册将为您一一介绍。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心