托管在云中的惡意內(nèi)容比您想象的更常見(jiàn)。專家Ed Moyle研究了云惡意軟件企業(yè)需要了解的內(nèi)容以及如何阻止它。 　　多年來(lái)許多人都預(yù)測(cè)到了云將是革命性的。我們也已經(jīng)看到了這一預(yù)測(cè)正在成為現(xiàn)實(shí)：企業(yè)正在利用云更快地為用戶提供更多的功能，并減少運(yùn)營(yíng)開(kāi)銷，從而全面加強(qiáng)對(duì)業(yè)務(wù)的支持?？偟膩?lái)說(shuō)，這一趨勢(shì)是極其正面的。 　　然而，也帶來(lái)了一些潛在的缺點(diǎn)。具體來(lái)說(shuō)，云在讓業(yè)務(wù)普遍發(fā)生變革的同時(shí)，也改變著那些不法行為(比如，網(wǎng)絡(luò)犯罪，為攻擊者或其他違法活動(dòng)提供惡意軟件)。正如合法組織采用云來(lái)支持業(yè)務(wù)一樣，那些壞家伙也是如此。而且，我們已經(jīng)看到了輔助惡意活動(dòng)即服務(wù)的網(wǎng)站正在增加。 　　然而，佐治亞理工大學(xué)研究人員最近的一項(xiàng)研究系統(tǒng)地分析了云存儲(chǔ)環(huán)境，發(fā)現(xiàn)問(wèn)題比大多數(shù)人所認(rèn)為的更為普遍。特別是，他們發(fā)現(xiàn)大約10%的云存儲(chǔ)庫(kù)已經(jīng)以某種方式受到影響;這包括作為惡意內(nèi)容的分發(fā)點(diǎn);使得組件能夠快速組裝成惡意軟件，以降低被檢測(cè)到的幾率;作為指揮和控制媒介;或以其他方式為惡意活動(dòng)提供便利。他們?cè)谒麄兊奈恼隆半[藏惡意于云中：了解和檢測(cè)云存儲(chǔ)庫(kù)作為惡意服務(wù)”的文章中簡(jiǎn)述了得到這一驚人統(tǒng)計(jì)的方法。 　　了解和檢測(cè)云中惡意內(nèi)容 　　了解這項(xiàng)研究有用的原因有幾個(gè)。首先，對(duì)于終端用戶(例如可能在業(yè)務(wù)端使用云端惡意內(nèi)容進(jìn)行攻擊的組織)，理解如何使用云進(jìn)行惡意活動(dòng)有助于他們了解其運(yùn)行的威脅形態(tài)。這是維護(hù)情境意識(shí)的一個(gè)關(guān)鍵方面，而且隨著智能驅(qū)動(dòng)安全技術(shù)的普及，我們可以收集到的有關(guān)對(duì)手的任何信息都是有用的。 　　此外，了解攻擊者如何使用云服務(wù)可以幫助開(kāi)發(fā)出檢測(cè)或預(yù)防控制來(lái)標(biāo)識(shí)(理想情況下預(yù)防)可能潛在的影響企業(yè)的惡意活動(dòng)。 　　其次，它對(duì)云服務(wù)供應(yīng)商有用。如果云供應(yīng)商成為惡意活動(dòng)的參與者(無(wú)意中成為這樣)，不僅會(huì)對(duì)云供應(yīng)商造成潛在的聲譽(yù)影響，而且也會(huì)帶來(lái)可能的直接經(jīng)濟(jì)影響。 　　例如，這可能發(fā)生在本該被合法客戶服務(wù)所占用的網(wǎng)絡(luò)帶寬或存儲(chǔ)反而被其他服務(wù)惡意使用的情況。即使只有使用資源才會(huì)付費(fèi)的情況下，被盜的付款卡或其他犯罪活動(dòng)也可能導(dǎo)致服務(wù)供應(yīng)商名譽(yù)掃地。 　　正如他們?cè)谡撐闹忻枋龅哪菢?，研究人員深入研究了它們稱之為Bars(不良存儲(chǔ)庫(kù))——例如包含了惡意內(nèi)容的Amazon Simple Storage Service或Google Drive等的云存儲(chǔ)庫(kù)。他們使用定制開(kāi)發(fā)的掃描工具(BarFinder)來(lái)定位這些存儲(chǔ)庫(kù)，它們是作為本次研究的一部分開(kāi)發(fā)的。 　　具體來(lái)說(shuō)，他們從拓?fù)涞慕嵌瓤疾炝藧阂夂秃戏ㄔ拼鎯?chǔ)庫(kù)之間的差異。他們通過(guò)創(chuàng)建兩組數(shù)據(jù)：一個(gè)Goodset(包含非惡意內(nèi)容的合法云存儲(chǔ)塊)和一個(gè)Badset(一組已確認(rèn)的惡意的或受損的塊)，并比較它們之間的差異。 　　根據(jù)惡意內(nèi)容的特點(diǎn)，他們能夠使用自動(dòng)化方法來(lái)確定內(nèi)容是合法的還是惡意的。例如，用于逃避被掃描儀發(fā)現(xiàn)的重定向(例如，使用代理或Gatekeeper)傾向于認(rèn)為這是惡意內(nèi)容，而對(duì)內(nèi)容的直接訪問(wèn)則傾向于支持推斷這種訪問(wèn)是合法的。自動(dòng)掃描方法(使用BarFinder)以及對(duì)內(nèi)容的語(yǔ)境和情形分析，可以進(jìn)一步得出結(jié)論。 　　此外，利用掃描技術(shù)，他們能夠?qū)阂馊后w中的站點(diǎn)進(jìn)行更系統(tǒng)的檢查：例如，通過(guò)一段時(shí)間的對(duì)這些站點(diǎn)進(jìn)行重新訪問(wèn)來(lái)觀察其運(yùn)行的生命周期(突出提供者的發(fā)現(xiàn)率)，以及觀察允許這些網(wǎng)站繼續(xù)經(jīng)營(yíng)的逃避技術(shù)的有效性。 　　緩解和補(bǔ)救惡意內(nèi)容 　　雖然他們強(qiáng)調(diào)的問(wèn)題本身值得注意，但對(duì)于大多數(shù)從業(yè)者來(lái)說(shuō)，更實(shí)際的問(wèn)題是終端用戶組織可以做些什么來(lái)保護(hù)自己。而且，云服務(wù)供應(yīng)商可以做些什么來(lái)查找和刪除這些惡意內(nèi)容。 　　首先，本文描述的方法的適用性可能對(duì)云服務(wù)供應(yīng)商來(lái)說(shuō)是一個(gè)有用的策略。這種惡意內(nèi)容以幾種不同的方式在服務(wù)供應(yīng)商提供的云存儲(chǔ)上制造漏洞。因此，他們發(fā)現(xiàn)這種有問(wèn)題用法的能力會(huì)最終在經(jīng)濟(jì)上造成影響。 　　除此之外，研究團(tuán)隊(duì)還注意到，導(dǎo)致他們使用此方法的挑戰(zhàn)之一是，(作為托管此內(nèi)容的云服務(wù)供應(yīng)商)他們可能無(wú)法對(duì)內(nèi)容本身進(jìn)行更深入的檢查?，F(xiàn)在人們已經(jīng)觀察并注意到這一問(wèn)題的普遍性，服務(wù)供應(yīng)商可能希望擴(kuò)展他們找到并標(biāo)記這個(gè)內(nèi)容的能力。 　　對(duì)于終端用戶組織而言，直接影響可能并不是那么明顯。當(dāng)然，這一研究結(jié)果可以提醒他們理解前文所述的威脅環(huán)境。此外，研究中所使用的用于評(píng)估內(nèi)容的技術(shù)可以用于制定對(duì)策。 　　然而，最省力的措施有兩方面：首先，與云服務(wù)供應(yīng)商展開(kāi)對(duì)話，對(duì)組織所采用的服務(wù)實(shí)施緩解措施;其次，如果組織認(rèn)為恰當(dāng)，可以提供外圍策略，控制員工訪問(wèn)不受信任的存儲(chǔ)庫(kù)。