Friday, November 23, 2012

アナリスト:クラウド·コンピューティングは危険です


クラウドコンピューティングは、セキュリティで保護されたコンピュータではありません。現在のセキュリティシステムが攻撃を妨害し、押収したコンピュータの大規模なネットワークを作成することはできません - ボットネットは、企業、データの盗難、スパムや詐欺メール(フィッシング)に攻撃を仕掛けるために、サイバー犯罪者によって使用されます。これらのボットネットは、市販のクラウド·コンピューティング·サービスを使用することができます - stratsecアナリストは述べています。
会社のために働いてstratsecアナリストは、世界最大のエレクトロニクス企業のいずれかに属すると補強 - BAEは、クラウドコンピューティングサービスコンピュータのセキュリティに関するレポートを開発しました。報告書は、このような処理のベースと商用クラウドコンピューティングサービスと、大規模なデータセンターの用語は、外部からの攻撃に対して十分な保護を構成するものではないことを示しています。


アナリストらは、とりわけ、いくつかの実験を行っstratsec外やボットネットを作成しようとか、そのサイバー犯罪を引き継いコンピュータのネットワークからのシミュレートの攻撃はスパムや不正な送信、Webサイトやインターネットサービスを提供する企業や研究機関、データの盗難、企業や個人のアカウントにハッキングを遮断する、サービス拒否攻撃(DDoS)のe-に使用メール(フィッシング)。
実験の間、我々はすべての5主要な商用クラウドコンピューティングstratsecアナリストでbotCloudsと呼ばれるボットネットを作成することができたことがわかったが、クラウド·コンピューティング·サービスに従事する企業の情報セキュリティチームからの応答がありませんでした。また、ボットネットに属しており、ハッカーのネットワークの存在の可能性を示す異常なネットワークトラフィックを作成したユーザーのアカウントに制限が課されていません。


実験は5世界最大のクラウドコンピューティングサービスでユーザアカウントを作成するために最初に含まれています。企業ネットワークの様々な自分のコンピュータにリアルタイムで制御されたボットネットを送信するために転送されるデータパケットの勘定。同じように、クラウド·コンピューティングを用いて通常のビジネス·コンピュータでも、実験に使用されるコンピュータでは、HTTP、FTP、SMTPを使用して基本的なインターネットサービスに含まれていた。この実験では、安全のエキスパートシステムとネットワークトラフィックの容疑者を発生させるにもかかわらず、アナリストはどのような反応に住んでいたではないstratsec。
その後、アナリストのクラウドコンピューティングサービスに置か商用アカウント上でシミュレート攻撃。ハッカーによって使用の攻撃の大部分に使用されるタイプ:FTPダウンロードサービスにおけるパスワードの強度、DOS攻撃、攻撃、悪意のあるスクリプト、マルウェア、ネットワークサービスの提供を実行するためのシステムを用いた攻撃のエラー、およびWebアプリケーションなどのデータベースを含むSQLインジェクションなどの攻撃への攻撃。


コンピュータでは、"被害者"は、しばしばなどの企業や機関で見つかった仮想環境を作成した同社は、同社がネットワークは、ファイアウォールが装備されている攻撃者が、雲と雲のネットワークとは別のコンピュータを使用している攻撃の雲、雲、同じコンピュータを使用していますが、クラウドを活用してクラウド;セキュアな企業のWebサーバやファイアウォールの。攻撃者と被害者のための別のクラウド環境の場合には、両方のクラウドサービスコンピュータの大手企業は、連続攻撃の48時間後に答えた。
としてstratsecアナリストは、彼らが期待にもかかわらず、応答の実用的な欠如を驚いていた報告書の中で述べた"クラウドサービスを展開する企業によって異なるアクションを"、接続を切断するトラフィックを削減し、帯域幅を削減し、サンプルがフィルタリングインターネット網で行った攻撃への法線はありませんでしたMotionは、ボットネットに属すると見なさ。


攻撃は、彼らが行った元のアカウントやアラームを一時停止し、それがハッカーの攻撃には "犠牲者"を通知することによって、反応ことはありませんでした。クラウドで、企業のセキュリティサービスの部門の一つでは、HTTP、FTP、SMTPなどの一般的なプロトコルを使用してインターネットサービスを実行する攻撃をブロックしますが、 "彼は教科書でそれをやった"ためのアナリストは、これらのサービス用のポートを変更しても、シミュレートされた攻撃を行うことができるようにだけありました。
著者らは、商用クラウドコンピューティングサービスの通知とリスクのためのより良いシステムをインストールするために変更なしセキュリティポリシー、雇用、より良い訓練を受けた担当者と結論づけるボットネットを実行して、ハッカーやサイバー犯罪者のために "、手頃な価格の、スケーラブルで信頼性とユーザーフレンドリーな"サービスを提供します。
また、クラウドへのITリソースの転送、クラウド·コンピューティングを提供する会社があるセキュリティの"本物ではなく、マーケティング"レベルまで上昇することはない"と思って与える"機関や企業が情報セキュリティのための独自のシステムを開発してきたことをお勧めします。




at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)