標籤: 雲端運算

雲端安全和APT防禦是同一件事嗎?

趨勢科技 TrendMicro

作者:趨勢科技Andy Dancer

 我最近在RSA上還有許多無法趕上演說的人前講到這個主題,他們問到這兩個看似無關的領域之間有什麼關連,我答應會寫出來好讓更多人可以了解,所以就是這篇了:

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體,但實際上並非如此。通常「進階」是指研究上的難度,還有社交工程陷阱( Social Engineering)的設計,讓受駭目標去做出不該做的行為,並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法,當修補程式出了一段時間之後,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。

所以,你該如何抵禦這種目標攻擊?底下是幾件我們認為最該做的事:

 減少噪音

 保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

 建立碎型外部防禦

 碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦,多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。

 利用專門軟體來監控內部網路流量 

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路,以確保在攻擊發生時會收到警訊。

 追蹤和清理

當外面的電腦被攻擊之後,除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更複雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。

保護你的資料

如果一切防護都失敗了,攻擊者已經突破了你的防禦,直達你的重要資料,其實還不算結束。你需要由內而外的第二道防禦,也就是資料加密,再利用資料防護來追蹤被帶走了什麼資料,並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,並且據此來設定對應的防禦。 

最後的重點就是前面六點的總結,同時也提供了跟雲端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,並據此來設定防禦措施。你的供應商會提供許多安全功能:外圍防火牆、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。

 對於內部(私有)雲來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境裡實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。

 所以雲端安全和APT防禦可能不是同一件事情,但他們可以有一樣的作法!

 @原文出處:Cloud Security and APT defense – Identical Twins?

 

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

 

APT 你命名 我送禮

◎ 歡迎加入趨勢科技社群網站

 

《雲端運算安全》雲端的消費化

趨勢科技 TrendMicro

作者:Aaron Lewis

在過去這兩年間,我們可以發現大部分的變化都集中在兩個地方 – IT的消費化(Consumerization)還有雲端。這包括了大量討論它們所帶來的影響、獨特的價值跟如何計算使用率等的文章或報告。今天在這所想要討論的,就是這兩者之間有沒有關連?它們是獨立不同的領域嗎?還是它們在今日的電腦世界裡互相牽連著?如果它們是相互牽連的?那我們該如何面對隨著產生的問題?不管是好的或壞的方面。

我的看法是,它們都是這廣大電腦世界裡重要的一部分,無法真的去單獨討論或是畫出清楚的界線來。更重要的是,如果將它們獨立看待,那麼想去處理它們對電腦世界所帶來的影響也可能會無法成功。

以狹義的角度來看,一般人所說的雲端往往是指有個雲端運算 系統架構,可以在那遠端執行應用程式,也可以用公司的設備、個人電腦或筆記型電腦來遠端儲存及使用資料。實際上,雲端是種運算環境,並不單指私有或公有(租用運算)的資料中心或系統,還包含了私有或公有的線路、路由器和其他會讓資料經過或存放的系統。現實是,並沒有一個特定的邊境或界線,可以明確指出這邊是雲端,而另外一邊就不是雲端。這是一個聚集了全球私有和公有系統的集合體,讓個人或公司可以用來進行日常的工作。

這跟IT消費化又有什麼關係呢?如果我們將雲端想成是許多系統的集合體,讓使用者可以充分地利用。那麼,現在這條無形的界線又開始移動了。因為有越來越多傳統上被視為消費電子的設備被大量的使用。這個朝向使用消費型設備的轉變 – 自帶設備上班(Bring Your Own Device,BYOD),進一步地將私有或公有雲的邊界帶入可攜的設備上,也更加變動。在這變動的環境底下,這些個人設備的所有權和管理權都已經在傳統的IT範圍之外,它們能夠利用各種方法去連接外部網路,並且使用和存取外部系統上的資料,這包括了許多應用程式和社群媒體。

所以不管你的組織有沒有使用這些外部系統,或是否允許使用者利用自己的設備去存取內部系統,這些對外部公開網路的連結實際上也代表著IT對這些設備無法掌控的程度,即使它們正在存取著內部網路環境。當這些設備在任何時間、任何地點都可以連上雲端,也代表了這些連結是潛在的一條通道進到你的網路環境。也就是說,在你的系統上有許多的大門正被開啟著。

繼續閱讀

< 雲端運算 > Cloudscaling測驗題 – 企業雲還是開放雲?

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

 Cloudscaling是間很有趣的公司,它的老闆 – Randy Bias是個真正懂雲端運算的人。這可以從他們所發表的開放式雲端基礎架構中看出來。

 當然了,我們這禮拜會在聖克拉拉的Cloud Connect大會上看到一連串的技術發表,但你還是該花點時間看看Randy發表的東西。以下是為什麼:

 Cloudscaling的CEO – Randy真的了解他的雲

 Randy是GoGrid的前任技術長,我們第一次見面大約是在十年前,當時我們同為Panorama Capital技術諮詢委員會的一員。Randy是早在我們同意有「雲端」這名詞之前,就已經了解雲端精神的傢伙之一。當我們還在提供諮詢時,Panorama支持成立了Vyatta,那是最早的開放原始碼網路新創公司(今天有許多雲端技術都有用到它)。

 他們真的提出很棒的策略

 這是為什麼CloudScaling的開放雲發表很值得一看的原因。因為他很誠實可信地闡明企業雲和開放雲之間的區別,沒有任何市場行銷的屁話。這也讓他們的說法令人感到信服,企業需要有「企業雲」(一個為了舊應用程式而存在的私有雲)和一個「開放雲」(用來運行雲端應用程式的私有或公共雲)。

 這是一個非常實際的討論,跳脫了已經過時的「公共、私有、混合」等行銷話語,那些行銷話語在這禮拜一定會貼滿在Cloud Connect的展位上。(對了,我禮拜三會在那邊,有經過的話,可以停下來跟我打聲招呼!)

 無論如何,在我的經驗裡,企業往往花費大量時間和金錢,想要讓企業應用程式可以放到公共雲上,或是想要利用根本沒有擴展性的企業工具來打造高可擴展性的雲端基礎建設。

 Randy的部落格文章寫得更直接。來參考一下他提出的測驗題,我將它貼到這以便討論。

 企業雲測驗題

 如果有超過一半的回答為「是」,那麼你有一個企業雲: 

  • 你的雲端是否專注在將現有的應用程式轉移到企業的資料中心?(像是虛擬機管理程式(Hypervisor)的兼容性、動態移轉(Live Migration)和高可用性的SAN儲存設備等功能)
  • 它是否很昂貴、複雜,而且需要大量手動操作?
  • 你使用的是否全是有牌子的硬體,並且是專用的規格?
  • 它的網路是否很複雜?
  • 使用者是否需要簽署合約,並且每月計費?(沒有可變動的收費選項)
  • 它是否提供專屬的資源集區,並且讓使用者手動設定?(像是時脈、記憶體和儲存裝置)
  • 你是否還在選擇硬體廠商?提供F5即服務或是NetScaler即服務,而非負載平衡即服務?

 這最後一個NetScaler即服務讓我笑了。當Citrix買下NetScaler時,我還是NetScaler的產品管理協理,後來成為Zeus Technologies的技術與行銷副總(第一個虛擬負載平衡設備),現在已經成為Riverbed的一部分,名稱改用種海洋生物了。

 

開放雲測驗題

 如果超過一半的回答為是,那你有一個開放雲:

 

  • 你是否可以在5分鐘之內啟動1000個虛擬伺服器?
  • 你的用戶是否都使用雲端管理平台,像是RightScale和enStratus?
  • 你是否可以在超過1000台的虛擬主機上跑資料或是Hadoop任務而不會產生系統問題?
  • 基本網路和網路服務(像是負載平衡)是否都很簡單直覺,而且可以讓使用者自己管理?
  • 它是否使用標準的API?(AWS?OpenStack?)
  • 底層的實體基礎設施和雲端運作團隊是否專注在:同質化,模組化,共通解決方案和自動化?
  • 你是否可以和Amazon Web Service的價格和服務水準競爭?

 

身為一個有辦法正確預測事情走向的技術人員,我的看法是,Randy已經在這方面取得很棒的成就。與其用VCE和Citrix來打造以虛擬機器為基礎的企業雲,他的Cloudscaling專注在讓企業用戶可以運行和公共雲供應商同樣規模和成本的開放雲上。對於大型企業來說,這是很重要的,這讓他們不再需要支付「雲端稅」給大型雲端服務供應商以運行數十、數百或數千台的伺服器。

 

但在這裡我必須說。我很擅長去看出技術將會往哪裡發展,但並不一定知道會何時發生。證據就是在1995年時,我在企業家雜誌採訪裡說到,2年之內公司將不再需要紙本目錄……而我們到現在都還沒到達那個地步。但是Randy所需要的時間表更短,而他也走出正確的一步了。

 無可避免的,開放雲終將超越企業雲,但這一過程將需要十年以上。現在是個好時機來將重點放在開放雲上了。雖然說,還有其他OpenStack的新創公司。

 但是他們都沒有像Randy一樣把一切都闡述的這麼簡單明瞭。幹得好。

@原文出處:Cloudscaling’s Litmus Test – Enterprise Cloud vs. Open Cloud

 

@延伸閱讀

利用雲端安全幫忙省錢 – 數字會說話
邁向更安全的工業控制系統(ICS)
瀏覽器分享、雲端運算和安全之間的關聯
CTO 觀點:虛擬化伺服器的弱點防護罩
最便宜的雲端運算破解MD5法是利用Google,而非Amazon雲端服務
CTO 觀點:虛擬化伺服器的弱點防護罩
瀏覽器分享、雲端運算和安全之間的關聯
大型加值經銷商與雲端服務,會發生什麼事
雲端運算:嘿!你!離開iCloud
雲端運算:搜尋iCloud 假防毒軟體送上門
《雲端運算安全》網狀雲新聞:Skype通訊協定被逆向工程
《雲端運算安全》雲端和虛擬化安全現況
看更多…雲端運算與網路安全相關文章懶人包

 

 

◎ 歡迎加入趨勢科技社群網站
 

《 趨勢專家看雲端運算》網格雲端儲存:更便宜,更可靠,但是安全性如何?

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

 看看SHYPERLINK,他們是網格雲架構進化的真實例子。他們每GB的儲存成本甚至比iCloud都還要少上一個量級,這是下一個最有效率的雲端儲存產品(至少在某些類型的檔案上更有效率,像是音樂)。

 Symform的總部位在西雅圖,但它不像Amazon或是Google一樣依賴著西北太平洋邊上的水力發電資料中心。Symform組成了一個網格雲,可以利用他們客戶的本地磁碟來儲存。

 

當我還是Trinity Ventures負責雲端與虛擬化技術的駐點創業家(Entrepreneur in residence)時,我看到Symform募集資金的提案(還是來自他們的競爭對手…)。當時我很感興趣也有想要去投資他們,因為這種作法可以大量的節省服務提供成本。不過我們(更有經驗)的創投公司合夥人卻不看好,因為擔心消費者會對於分享自己的硬碟跟(加密過的)資料覺得不大穩當。

 

以下是Symform的運作模式:

 

  • 首先要安裝Symform軟體
  • 從你的電腦出來的資料會被切成每塊64MB的大小,每一塊都會用256位元的AES來加密。
  • 每個64 MB區塊都被打破成1MB的小塊
  • 每一組的64個小塊都會分配檢查碼,分段的方式就跟磁碟陣列的作法是一樣的(這會增加50%的資料大小,但也讓它變成高度可用性)
  • 產生出來的96個分段(每個1 MB)會分散儲存在其他的Symform客戶電腦上,在今天主要集中在美國和歐洲

 

當你從雲端要求資料時,它就會從所儲存的各個地方取回。如果有些機器無法存取,就會利用檢查碼來重建資料,這也造就了一個非常高冗餘的儲存模式。這種資料是你無法到資料中心去刪除的。

 

最酷的事情是,這樣一來集中式資料中心的使用量趨近於零,這也意味著服務成本是驚人的低,和舊式的集中式雲端儲存技術像DropboxBox.net比其來,幾乎低到了不可思議的地步。Symform對於前200GB的儲存量並不收費。這是Dropbox所免費提供的2GB的100倍。做到100倍的容量差異絕對是顛覆性的技術,這也是為什麼我相信網格雲會破壞掉集中式雲端技術,讓我們以一個雲端架構的口頭禪當成結語:

 

如果可以就分散它

必要的時候才集中它

一切集中控管。

  繼續閱讀

利用雲端安全幫忙省錢 – 數字會說話

趨勢科技 TrendMicro 60 筆留言

當人們講到雲端安全,它可能是指1)提供給雲端服務的安全技術 – 保護你所使用的雲端服務,像是保護虛擬主機或是存放在雲端的資料;或是2)利用雲端技術所提供的安全防護,像安全即服務(Security as a Service)會利用雲端技術來提供安全服務,如電子郵件代管或網頁安全。而在這裡,我想偏重於利用雲端技術來提供安全防護,利用混合模式 – 雲端主從架構。

 利用雲端技術來提供安全防護可以做到更快速的威脅防護和更好的安全性。傳統安全依賴特徵碼比對。但是取得病毒碼並在企業內部加以派送可能很費時間。花在更新上的時間會出現一個安全空窗期,而為了防禦今日的威脅所需要的龐大病毒碼也會耗費系統資源和效能。但是使用雲端主從架構,可以只安裝輕快的客戶端程式在伺服器或個人電腦上,這個客戶端程式可以使用雲端中最新的威脅智慧,像是來自電子郵件、網頁和檔案信譽評比資料庫的威脅防護。資安廠商可以很快地更新雲端資料,而你也不必等待病毒碼更新以得到保護。

 更快的防護可以幫你省錢,因為需要較少的IT人力來回復中毒系統,也減少因為回復中毒系統所造成的生產力損失,而且IT人員花在像管理病毒碼、進行系統升級和管理誤報等的時間也變少了,更別提資料入侵外洩所造成的相關損失了。

 但你到底可以省下多少?Osterman Research公佈了一份報告 – 「雲端主從架構以更低的成本提供更好的安全性。」在這份報告中,Osterman Research訪問多家企業以取得資訊來估計這些IT工作在擁有5000名員工的公司所需要的花費。而這報告計算了如果這些公司使用單一廠商在企業內部佈署雲端主從架構會節省的成本。結果很驚人。這些公司每人每年可以節省49美元以上,安全管理成本降低了41%。你可以參考這份文件來了解目前的威脅環境跟關於成本節省的相關資訊。

繼續閱讀