网络攻击锁定云计算 袭击率提高5倍
云博览会于6月6日至6月9日在纽约召开,这是一个关于开源云计算基础设施的盛会。在博览会上,戴尔安全工程数据和应用安全小组产品组长Allen·Vance讲到,由于虚拟数据中心的发展,越来越多的企业将其应用转移到公有云或私有云上,因此云服务成为网络攻击的主要对象,因此企业在进行云部署时不得不考虑虚拟环境带来的巨大风险。PerspecSys公司的首席技术官Terry·Woloszyn将现在的安全局势比喻成一场“军备竞赛”,网络攻击者不断开发新的攻击工具并不断更新现有的安全威胁,致使云服务供应商和企业丝毫不敢放松戒备。
最近一起最具代表性的网络攻击事件发生在苹果游戏软件上whack-a-mole。恶意软件开发者编写出一个虚假的MacDefender,并在随后几周出现了多种该种病毒变形。苹果于6月1日对MacOSX的恶意软件检疫隔离名单更新,不到24小时MacDefender变形便出现了。6月2日,苹果将其变形定义为恶意软件,几个小时内,MacDefender另一个变形出现。根据戴尔安全工程项目组报道,2008年至2010年虚拟技术的被攻击率已被加倍上升。Vance说,“戴尔安全工程项目组在虚拟环境中监测到的安全袭击事件要比往年同期高出500%。”
Hyper-Escalation是指恶意软件利用程序漏洞获得实际服务器的管理权限时发生的状况。网络攻击者可以窃取云服务供应商的证书,如企业用于进入AWS的用户名和密码、身份认证及密钥。在此种情况下,攻击者会获得分布在该实际服务器的所有虚拟机器的管理权限。企业用户在被感染的Iaas上存储数据、分享数据库、进行计算时,一些列危险被成倍放大。Woloszyn在云博览会上讲到,这并非像“脚本小子”那样只是入侵网络写几句恶作剧代码那么简单,利用云计算进行的网络攻击从“sophisticatednation-states”开始,到有组织的网络犯罪已出现多起。例如,某些攻击首先攻破RAS安全防御系统,然后利用已窃取的数据入侵云服务供应商。“超级工厂病毒”就是一个最具代表性的例子,被喻为“网络巡航导弹”,它能入侵高度专业的系统。在会上,Vance还说道,另外一个针对云服务的威胁是连接应用程序与服务的APIs病毒,网络上有数以千计的APIs存在,而且每天都有10到15个新变种产生。
用户在遭遇攻击后,公正裁决也非常困难。因为云服务是由第三方提供的,而当攻击事件发生后,第三方供应商的首要任务是保护其他用户不被攻击。Vance强调云服务用户不能放松对云日志的监督,企业虽然将运营交付云供应商负责,但并不意味着用户自身的IT部门就能放松对托管主机、虚拟机器及其他安全服务的监督。Woloszyn说道,企业用户应该非常严格控制进入云服务的条件,输入信息必须完全一致才能进入;层层逐级访问,信誉度越高的访问权限越大,这就意味着攻击者必须不断升级其权限才能毫无拘束的窃取数据。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。