雲服務面臨安全考驗 企業需謹防雲欺詐

本文講的是<b>雲服務面臨安全考驗 企業需謹防雲欺詐，</b>在3月的RSA安全大會上，來自Bishop Fox的安全研究人員詳細介紹了如何利用免費雲資源來建構僵屍網絡。在這幾天的黑帽大會中，Bishop Fox又重新回到這個話題，并帶來更多詳細資訊，他們希望能夠阻止别人建立自己的雲僵屍網絡。

　　Bishop Fox公司進階安全助理Rob Ragan介紹說，他的團隊現在已經基于他用來建構自己的雲僵屍網絡使用的技術開發了一個防禦架構。

　　Ragan并不是手動逐個逐個建立新賬戶，而是建構自動化工具來幫助快速建立新賬戶。對于很多雲服務提供商來說，電子郵件位址就可以建立一個賬戶。

　　一些供應商已經部署了反自動化工具，例如使用CAPTCHA來防止自動建立賬戶。然而在某些情況下，Ragan發現他們可以繞過雲服務提供商的反自動化工具。

　　Ragan看到三分之二的服務僅使用電子郵件作為身份驗證來授權使用試用賬戶。通過其團隊的工具，Ragan能夠建立無限數量的電子郵件位址，這表明這種身份驗證形式并無法阻止雲僵屍網絡的建立。

　　為了幫助企業發現其反自動化的缺點，Ragan及其團隊已經部署了他所謂的“反反自動化”架構，該架構包括一個工具集來幫助企業識别風險。

　　“我們有技術可以用來繞過電子郵件驗證，也有技術可以繞過CAPTCHA，”他表示，“還有辦法可以自動化和繞過電話及短信驗證。”

　　Ragan補充說，還有繞過信用卡驗證的機制，有些雲服務提供商也在使用這種機制。

　　Ragan表示：“我們想要有一個架構，作為工具和技術的單一存儲庫，來評估反自動化技術的安全性。”

　　該代碼将會公開公布在Bishop Fox Github網站，其目的是讓更多人參與進來，對其進行改善和做出貢獻。

　　總體而言，Ragan希望企業能夠意識到攻擊者可以部署技術來繞過反自動化。“攻擊者總是能夠找到方法來自動化過程，但企業能夠提高攻擊者的攻擊困難度，來減少他們的攻擊，”他表示，“我們的想法是提高攻擊者的攻擊成本，讓他們沒有那麼容易可以自動化擷取免費賬号的過程。”

作者：鄒铮/譯

來源：it168網站

原文标題：雲服務面臨安全考驗 企業需謹防雲欺詐