托管在云中的惡意內容比您想象的更常見。專家Ed Moyle研究了云惡意軟件企業需要了解的內容以及如何阻止它。
多年來許多人都預測到了云將是革命性的。我們也已經看到了這一預測正在成為現實:企業正在利用云更快地為用戶提供更多的功能,并減少運營開銷,從而全面加強對業務的支持。總的來說,這一趨勢是極其正面的。
然而,也帶來了一些潛在的缺點。具體來說,云在讓業務普遍發生變革的同時,也改變著那些不法行為(比如,網絡犯罪,為攻擊者或其他違法活動提供惡意軟件)。正如合法組織采用云來支持業務一樣,那些壞家伙也是如此。而且,我們已經看到了輔助惡意活動即服務的網站正在增加。
云惡意軟件——即利用云來協助分發、指揮和控制受損系統或規避現有的安全控制措施——并不是什么新鮮事物。
然而,佐治亞理工大學研究人員最近的一項研究系統地分析了云存儲環境,發現問題比大多數人所認為的更為普遍。特別是,他們發現大約10%的云存儲庫已經以某種方式受到影響;這包括作為惡意內容的分發點;使得組件能夠快速組裝成惡意軟件,以降低被檢測到的幾率;作為指揮和控制媒介;或以其他方式為惡意活動提供便利。他們在他們的文章“隱藏惡意于云中:了解和檢測云存儲庫作為惡意服務”的文章中簡述了得到這一驚人統計的方法。
了解和檢測云中惡意內容
了解這項研究有用的原因有幾個。首先,對于終端用戶(例如可能在業務端使用云端惡意內容進行攻擊的組織),理解如何使用云進行惡意活動有助于他們了解其運行的威脅形態。這是維護情境意識的一個關鍵方面,而且隨著智能驅動安全技術的普及,我們可以收集到的有關對手的任何信息都是有用的。
此外,了解攻擊者如何使用云服務可以幫助開發出檢測或預防控制來標識(理想情況下預防)可能潛在的影響企業的惡意活動。
其次,它對云服務供應商有用。如果云供應商成為惡意活動的參與者(無意中成為這樣),不僅會對云供應商造成潛在的聲譽影響,而且也會帶來可能的直接經濟影響。
例如,這可能發生在本該被合法客戶服務所占用的網絡帶寬或存儲反而被其他服務惡意使用的情況。即使只有使用資源才會付費的情況下,被盜的付款卡或其他犯罪活動也可能導致服務供應商名譽掃地。
正如他們在論文中描述的那樣,研究人員深入研究了它們稱之為Bars(不良存儲庫)——例如包含了惡意內容的Amazon Simple Storage Service或Google Drive等的云存儲庫。他們使用定制開發的掃描工具(BarFinder)來定位這些存儲庫,它們是作為本次研究的一部分開發的。
具體來說,他們從拓撲的角度考察了惡意和合法云存儲庫之間的差異。他們通過創建兩組數據:一個Goodset(包含非惡意內容的合法云存儲塊)和一個Badset(一組已確認的惡意的或受損的塊),并比較它們之間的差異。
根據惡意內容的特點,他們能夠使用自動化方法來確定內容是合法的還是惡意的。例如,用于逃避被掃描儀發現的重定向(例如,使用代理或Gatekeeper)傾向于認為這是惡意內容,而對內容的直接訪問則傾向于支持推斷這種訪問是合法的。自動掃描方法(使用BarFinder)以及對內容的語境和情形分析,可以進一步得出結論。
此外,利用掃描技術,他們能夠對惡意群體中的站點進行更系統的檢查:例如,通過一段時間的對這些站點進行重新訪問來觀察其運行的生命周期(突出提供者的發現率),以及觀察允許這些網站繼續經營的逃避技術的有效性。
緩解和補救惡意內容
雖然他們強調的問題本身值得注意,但對于大多數從業者來說,更實際的問題是終端用戶組織可以做些什么來保護自己。而且,云服務供應商可以做些什么來查找和刪除這些惡意內容。
首先,本文描述的方法的適用性可能對云服務供應商來說是一個有用的策略。這種惡意內容以幾種不同的方式在服務供應商提供的云存儲上制造漏洞。因此,他們發現這種有問題用法的能力會最終在經濟上造成影響。
除此之外,研究團隊還注意到,導致他們使用此方法的挑戰之一是,(作為托管此內容的云服務供應商)他們可能無法對內容本身進行更深入的檢查。現在人們已經觀察并注意到這一問題的普遍性,服務供應商可能希望擴展他們找到并標記這個內容的能力。
對于終端用戶組織而言,直接影響可能并不是那么明顯。當然,這一研究結果可以提醒他們理解前文所述的威脅環境。此外,研究中所使用的用于評估內容的技術可以用于制定對策。
然而,最省力的措施有兩方面:首先,與云服務供應商展開對話,對組織所采用的服務實施緩解措施;其次,如果組織認為恰當,可以提供外圍策略,控制員工訪問不受信任的存儲庫。
京公網安備 11010502049343號