托管在云中的惡意內(nèi)容比您想象的更常見。專家Ed Moyle研究了云惡意軟件企業(yè)需要了解的內(nèi)容以及如何阻止它。

多年來許多人都預(yù)測(cè)到了云將是革命性的。我們也已經(jīng)看到了這一預(yù)測(cè)正在成為現(xiàn)實(shí)：企業(yè)正在利用云更快地為用戶提供更多的功能，并減少運(yùn)營開銷，從而全面加強(qiáng)對(duì)業(yè)務(wù)的支持?？偟膩碚f，這一趨勢(shì)是極其正面的。

然而，也帶來了一些潛在的缺點(diǎn)。具體來說，云在讓業(yè)務(wù)普遍發(fā)生變革的同時(shí)，也改變著那些不法行為(比如，網(wǎng)絡(luò)犯罪，為攻擊者或其他違法活動(dòng)提供惡意軟件)。正如合法組織采用云來支持業(yè)務(wù)一樣，那些壞家伙也是如此。而且，我們已經(jīng)看到了輔助惡意活動(dòng)即服務(wù)的網(wǎng)站正在增加。

然而，佐治亞理工大學(xué)研究人員最近的一項(xiàng)研究系統(tǒng)地分析了云存儲(chǔ)環(huán)境，發(fā)現(xiàn)問題比大多數(shù)人所認(rèn)為的更為普遍。特別是，他們發(fā)現(xiàn)大約10%的云存儲(chǔ)庫已經(jīng)以某種方式受到影響;這包括作為惡意內(nèi)容的分發(fā)點(diǎn);使得組件能夠快速組裝成惡意軟件，以降低被檢測(cè)到的幾率;作為指揮和控制媒介;或以其他方式為惡意活動(dòng)提供便利。他們?cè)谒麄兊奈恼?ldquo;隱藏惡意于云中：了解和檢測(cè)云存儲(chǔ)庫作為惡意服務(wù)”的文章中簡述了得到這一驚人統(tǒng)計(jì)的方法。

了解和檢測(cè)云中惡意內(nèi)容

了解這項(xiàng)研究有用的原因有幾個(gè)。首先，對(duì)于終端用戶(例如可能在業(yè)務(wù)端使用云端惡意內(nèi)容進(jìn)行攻擊的組織)，理解如何使用云進(jìn)行惡意活動(dòng)有助于他們了解其運(yùn)行的威脅形態(tài)。這是維護(hù)情境意識(shí)的一個(gè)關(guān)鍵方面，而且隨著智能驅(qū)動(dòng)安全技術(shù)的普及，我們可以收集到的有關(guān)對(duì)手的任何信息都是有用的。

此外，了解攻擊者如何使用云服務(wù)可以幫助開發(fā)出檢測(cè)或預(yù)防控制來標(biāo)識(shí)(理想情況下預(yù)防)可能潛在的影響企業(yè)的惡意活動(dòng)。

其次，它對(duì)云服務(wù)供應(yīng)商有用。如果云供應(yīng)商成為惡意活動(dòng)的參與者(無意中成為這樣)，不僅會(huì)對(duì)云供應(yīng)商造成潛在的聲譽(yù)影響，而且也會(huì)帶來可能的直接經(jīng)濟(jì)影響。

例如，這可能發(fā)生在本該被合法客戶服務(wù)所占用的網(wǎng)絡(luò)帶寬或存儲(chǔ)反而被其他服務(wù)惡意使用的情況。即使只有使用資源才會(huì)付費(fèi)的情況下，被盜的付款卡或其他犯罪活動(dòng)也可能導(dǎo)致服務(wù)供應(yīng)商名譽(yù)掃地。

正如他們?cè)谡撐闹忻枋龅哪菢?，研究人員深入研究了它們稱之為Bars(不良存儲(chǔ)庫)——例如包含了惡意內(nèi)容的Amazon Simple Storage Service或Google Drive等的云存儲(chǔ)庫。他們使用定制開發(fā)的掃描工具(BarFinder)來定位這些存儲(chǔ)庫，它們是作為本次研究的一部分開發(fā)的。

具體來說，他們從拓?fù)涞慕嵌瓤疾炝藧阂夂秃戏ㄔ拼鎯?chǔ)庫之間的差異。他們通過創(chuàng)建兩組數(shù)據(jù)：一個(gè)Goodset(包含非惡意內(nèi)容的合法云存儲(chǔ)塊)和一個(gè)Badset(一組已確認(rèn)的惡意的或受損的塊)，并比較它們之間的差異。

根據(jù)惡意內(nèi)容的特點(diǎn)，他們能夠使用自動(dòng)化方法來確定內(nèi)容是合法的還是惡意的。例如，用于逃避被掃描儀發(fā)現(xiàn)的重定向(例如，使用代理或Gatekeeper)傾向于認(rèn)為這是惡意內(nèi)容，而對(duì)內(nèi)容的直接訪問則傾向于支持推斷這種訪問是合法的。自動(dòng)掃描方法(使用BarFinder)以及對(duì)內(nèi)容的語境和情形分析，可以進(jìn)一步得出結(jié)論。

此外，利用掃描技術(shù)，他們能夠?qū)阂馊后w中的站點(diǎn)進(jìn)行更系統(tǒng)的檢查：例如，通過一段時(shí)間的對(duì)這些站點(diǎn)進(jìn)行重新訪問來觀察其運(yùn)行的生命周期(突出提供者的發(fā)現(xiàn)率)，以及觀察允許這些網(wǎng)站繼續(xù)經(jīng)營的逃避技術(shù)的有效性。

緩解和補(bǔ)救惡意內(nèi)容

雖然他們強(qiáng)調(diào)的問題本身值得注意，但對(duì)于大多數(shù)從業(yè)者來說，更實(shí)際的問題是終端用戶組織可以做些什么來保護(hù)自己。而且，云服務(wù)供應(yīng)商可以做些什么來查找和刪除這些惡意內(nèi)容。

首先，本文描述的方法的適用性可能對(duì)云服務(wù)供應(yīng)商來說是一個(gè)有用的策略。這種惡意內(nèi)容以幾種不同的方式在服務(wù)供應(yīng)商提供的云存儲(chǔ)上制造漏洞。因此，他們發(fā)現(xiàn)這種有問題用法的能力會(huì)最終在經(jīng)濟(jì)上造成影響。

除此之外，研究團(tuán)隊(duì)還注意到，導(dǎo)致他們使用此方法的挑戰(zhàn)之一是，(作為托管此內(nèi)容的云服務(wù)供應(yīng)商)他們可能無法對(duì)內(nèi)容本身進(jìn)行更深入的檢查?，F(xiàn)在人們已經(jīng)觀察并注意到這一問題的普遍性，服務(wù)供應(yīng)商可能希望擴(kuò)展他們找到并標(biāo)記這個(gè)內(nèi)容的能力。

對(duì)于終端用戶組織而言，直接影響可能并不是那么明顯。當(dāng)然，這一研究結(jié)果可以提醒他們理解前文所述的威脅環(huán)境。此外，研究中所使用的用于評(píng)估內(nèi)容的技術(shù)可以用于制定對(duì)策。

然而，最省力的措施有兩方面：首先，與云服務(wù)供應(yīng)商展開對(duì)話，對(duì)組織所采用的服務(wù)實(shí)施緩解措施;其次，如果組織認(rèn)為恰當(dāng)，可以提供外圍策略，控制員工訪問不受信任的存儲(chǔ)庫。