托管在云中的恶意内容比您想象的更常见。专家Ed Moyle研究了云恶意软件企业需要了解的内容以及如何阻止它。
多年来许多人都预测到了云将是革命性的。我们也已经看到了这一预测正在成为现实:企业正在利用云更快地为用户提供更多的功能,并减少运营开销,从而全面加强对业务的支持。总的来说,这一趋势是极其正面的。
然而,也带来了一些潜在的缺点。具体来说,云在让业务普遍发生变革的同时,也改变着那些不法行为(比如,网络犯罪,为攻击者或其他违法活动提供恶意软件)。正如合法组织采用云来支持业务一样,那些坏家伙也是如此。而且,我们已经看到了辅助恶意活动即服务的网站正在增加。
然而,佐治亚理工大学研究人员最近的一项研究系统地分析了云存储环境,发现问题比大多数人所认为的更为普遍。特别是,他们发现大约10%的云存储库已经以某种方式受到影响;这包括作为恶意内容的分发点;使得组件能够快速组装成恶意软件,以降低被检测到的几率;作为指挥和控制媒介;或以其他方式为恶意活动提供便利。他们在他们的文章“隐藏恶意于云中:了解和检测云存储库作为恶意服务”的文章中简述了得到这一惊人统计的方法。
了解和检测云中恶意内容
了解这项研究有用的原因有几个。首先,对于终端用户(例如可能在业务端使用云端恶意内容进行攻击的组织),理解如何使用云进行恶意活动有助于他们了解其运行的威胁形态。这是维护情境意识的一个关键方面,而且随着智能驱动安全技术的普及,我们可以收集到的有关对手的任何信息都是有用的。
此外,了解攻击者如何使用云服务可以帮助开发出检测或预防控制来标识(理想情况下预防)可能潜在的影响企业的恶意活动。
其次,它对云服务供应商有用。如果云供应商成为恶意活动的参与者(无意中成为这样),不仅会对云供应商造成潜在的声誉影响,而且也会带来可能的直接经济影响。
例如,这可能发生在本该被合法客户服务所占用的网络带宽或存储反而被其他服务恶意使用的情况。即使只有使用资源才会付费的情况下,被盗的付款卡或其他犯罪活动也可能导致服务供应商名誉扫地。
正如他们在论文中描述的那样,研究人员深入研究了它们称之为Bars(不良存储库)——例如包含了恶意内容的Amazon Simple Storage Service或Google Drive等的云存储库。他们使用定制开发的扫描工具(BarFinder)来定位这些存储库,它们是作为本次研究的一部分开发的。
具体来说,他们从拓扑的角度考察了恶意和合法云存储库之间的差异。他们通过创建两组数据:一个Goodset(包含非恶意内容的合法云存储块)和一个Badset(一组已确认的恶意的或受损的块),并比较它们之间的差异。
根据恶意内容的特点,他们能够使用自动化方法来确定内容是合法的还是恶意的。例如,用于逃避被扫描仪发现的重定向(例如,使用代理或Gatekeeper)倾向于认为这是恶意内容,而对内容的直接访问则倾向于支持推断这种访问是合法的。自动扫描方法(使用BarFinder)以及对内容的语境和情形分析,可以进一步得出结论。
此外,利用扫描技术,他们能够对恶意群体中的站点进行更系统的检查:例如,通过一段时间的对这些站点进行重新访问来观察其运行的生命周期(突出提供者的发现率),以及观察允许这些网站继续经营的逃避技术的有效性。
缓解和补救恶意内容
虽然他们强调的问题本身值得注意,但对于大多数从业者来说,更实际的问题是终端用户组织可以做些什么来保护自己。而且,云服务供应商可以做些什么来查找和删除这些恶意内容。
首先,本文描述的方法的适用性可能对云服务供应商来说是一个有用的策略。这种恶意内容以几种不同的方式在服务供应商提供的云存储上制造漏洞。因此,他们发现这种有问题用法的能力会最终在经济上造成影响。
除此之外,研究团队还注意到,导致他们使用此方法的挑战之一是,(作为托管此内容的云服务供应商)他们可能无法对内容本身进行更深入的检查。现在人们已经观察并注意到这一问题的普遍性,服务供应商可能希望扩展他们找到并标记这个内容的能力。
对于终端用户组织而言,直接影响可能并不是那么明显。当然,这一研究结果可以提醒他们理解前文所述的威胁环境。此外,研究中所使用的用于评估内容的技术可以用于制定对策。
然而,最省力的措施有两方面:首先,与云服务供应商展开对话,对组织所采用的服务实施缓解措施;其次,如果组织认为恰当,可以提供外围策略,控制员工访问不受信任的存储库。
本文作者:佚名
来源:51CTO
