恶意软件是我们必须面对的现实,而且恶意软件不太可能很快消失。
我们每天都需要与蠕虫、病毒、间谍软件和其他行恶意软件作斗争,而云恶意软件是我们需要面对的又一种类别。这种恶意软件并不是新鲜事,它已经发展十多年。例如,SpyEye银行木马早在2011年就托管在亚马逊简单存储服务存储桶中。云安全提供商Netskope报告称,68%的恶意软件下载来自云应用程序。
让我们来看看云恶意软件的类型以及如何防御它们。
云恶意软件类型
围绕云恶意软件的所有讨论都集中在两个特定的类别:
1. 使用云进行交付和通信(命令和控制)的恶意软件;
2. 明确针对云资产和资源的恶意软件。
现代恶意软件通过各种方式通过云服务获得立足点。首先,很多类型的恶意软件都托管在云存储环境中,无论是在专用服务中,例如Dropbox或Box中,还是在IaaS或PaaS云中的存储节点中。这些公开的存储帐户或节点通常位于众所周知的云服务提供商(CSP)环境中,以最大程度地减少内容筛选软件阻止托管域的可能性。特别是勒索软件,通常被认为是云托管威胁。
其次,很多恶意软件变体将其命令和控制基础设施托管在云中,因为大多数企业不会明确阻止流向AWS,Azure,Google云平台和其他大型CSP的流量。
第三,某些类型的恶意软件可能用于DDoS活动,然后使用攻击者控制的云托管系统向受害者发送大量流量。这些攻击也可能是云租户帐户中的系统受感染的结果。
同时,恶意软件的新变体以云服务和工作负载为目标。其中最着名的是加密货币矿工,他们主要瞄准基于云的VM和容器工作负载。这些类型的恶意软件会扫描公开的API,以确定是否可以利用其中任何一个来允许在工作负载上安装和执行。一旦完成,攻击者就会挖掘加密货币以获取利润。
趋势科技报告称,各种攻击者团伙会攻击暴露的云资产和服务,然后利用各种技术技术挖掘加密货币,例如使用SSH暴力破解、远程利用易受攻击的服务,以及通过公开的API发出命令等。
其他以云为中心的恶意软件包括将恶意文件嵌入到VM模板中以继续传播和持久化-这种技术在加密采矿攻击者团伙TeamTNT中的攻击活动多次出现。另一种常见的云恶意软件涉及通过云提供商市场中受感染的插件和模块进行攻击-这种技术可用于从SaaS部署中窃取数据或嵌入到PaaS和IaaS帐户中。这些攻击有无数种变体。
如何对抗云恶意软件
幸运的是,我们有办法可以检测和预防云恶意软件。企业应执行以下操作:
- 加密存储在云端的所有数据。这有助于防止数据泄露或感染-当基于云的恶意软件瞄准帐户和工作负载时。
- 要求对所有云用户帐户进行强身份验证。强密码和多因素身份验证有助于防止云帐户受到恶意软件活动的攻击。
- 备份云工作负载和数据。理想情况下,如果可能的话,将工作负载映像和数据存储备份并复制到单独的帐户或订阅中。这有助于缓解各种基于云的恶意软件技术。
- 部署基于网络和身份的隔离和分段。 现在有很多面向云的分段策略可用,企业应尽可能减少特定帐户或网络子网内的可攻击外围应用。
- 部署网络行为监控工具和服务。 所有主要的IaaS云都向租户提供网络流数据。可以对这些信息进行汇总和分析,以发现横向移动和指挥与控制流量的指标。
- 使用云提供商工具和检测技术。除了记录事件并将该数据发送到中央分析平台之外,有些云服务提供商还提供恶意软件检测技术,可以发现恶意软件感染或行为的指标。例如,微软在其很多微软365服务中提供恶意软件检测功能。虽然云恶意软件可能会在可预见的未来继续存在,但好消息是:我们正在越来越有效地对抗云恶意软件。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]