降低通過社交媒體管道進行惡意雲攻擊的風險

正如作者之前曾討論過的，當破壞發生時，許多組織都採取被動回應，而不是採取更為謹慎的主動措施。 現在我們將與作者一起為緩和濫用而提供路線圖，並介紹發生濫用時應採取的積極措施。

在一個平靜的雲島中，奉公守法的島民會使用行動裝置執行以下操作：

以個體或小組身份運行所需的軟體即服務 (SaaS) 應用程式。 以團隊名義開發平臺即服務 (PaaS) 的應用程式。 通過性能指示器的儀錶盤檢查基礎架構即服務 (IaaS) 的健康情況。

在工作時，島民會寫微博、發博客並使用其他社交網路工具，進行以下活動通常都沒有問題：

在他們訪問的雲資料上實現近即時的通信。 遠端構建一個公共雲開發人員的合作文化。 共用雲服務知識和當前雲實踐。 更加頻繁地訪問雲服務遷移進程。

島民們都很開心；按照服務水準協定 (SLA) 所保證的，雲和社交網路服務始終可用。 當性能低於保證可用性水準時，SLA 會指定一個容錯移轉計畫，將容錯移轉到該島健康的資料中心中的某個地方。 用於測量性能的演算法在數值上是穩定的。

但是，並不是每個人都是他們看起來的樣子。

偽裝成遊客的網路罪犯

在陽光明媚的一天的午餐時間，有三個雲服務人員走過幾個街區到達該島的主要港口，為悄悄靠近港口的一艘遊艇拍照。 這艘船上有大約 1,000 名遊客，而且這些遊客們並沒有覺察到一些網路罪犯就隱藏在他們中間。 另一個島上的保安人員在罪犯登船前忘記檢查他們的背景。

在該船停靠前的幾分鐘，雲服務人員暫停拍照，開始閱讀 2012 年 12 月 13 發佈的 InfoWorld，Trend Micro 報告，該報告討論的是駭客通過社交網路工具利用雲服務。 根據該報告，駭客通過寫博客、發微博或使用 Facebook 將惡意程式碼從命令和控制中心傳送到行動裝置。 一旦駭客獲得資料（他們並不該有的資料），他們會將偷來的資料放在 Google Docs 或 Dropbox 或 Pastebin 甚至 Amazon EC2 中。

那麼，命令和控制中心的駭客可能會考慮：

他們收集到了哪些非常重要的資料。 他們將如何惡意更改資料。 他們將如何獲得更高的特權。 他們是將資料重新發送回資料來源，還是繼續前進到目的地。

該船一成功停靠，這些網路罪犯就會立刻登上該島，並避開三個雲服務人員，然後消失在揮舞著旗幟的人群中。 到雲服務人員回來工作時，他們便開始用行動裝置連接社交網路。 但雲服務人員發現的太遲了，他們無法訪問 SaaS 應用程式、連接其他 PaaS 開發人員或檢查 IaaS 的健康情況。

雲服務突然關閉。 雲服務人員不斷抱怨：

閾值策略不恰當。 遷移到健康資料中心的容錯移轉計畫被排除在 SLA 之外。 用於測量性能的演算法在數值上是不穩定的。

島民模型使用者

討論降低雲服務濫用風險的計畫之前，我們先來瞭解模型使用者使用哪些行動裝置獲取所需的 SaaS，用 PaaS 構建 SaaS 應用程式以及檢查 IaaS 的健康情況。 他們彼此使用哪些社交媒體工具進行通信受限於對允許他們訪問 SaaS、PaaS 和 IaaS 資源的控制程度。 供應商設置了資源、使用者、資料請求和社交媒體的閾值水準。

所有使用者均受到公司自帶行動裝置策略 (BYOD) 的約束，因為每個行動裝置都為公司認可的資料和應用程式提供了一個密碼或生物安全分區。 在相同設備上，該分區與供個人使用的第二分區相分離。 所有行動裝置由公司的行動裝置管理解決方案進行遠端控制，包括 IBM® 的 Endpoint Manager for Mobile Devices（與 IBM 的其他 Endpoint Management 產品一起使用）。

按需獲取 SaaS

SaaS 移動使用者對移動使用的控制最少，而供應商最多。

最終使用者移動控制：最終使用者的惟一控制是從行動裝置的分區上訪問 SaaS 應用程式，不管最終使用者是個人、是企業（小型或中型），還是政府機構。 SaaS 應用程式的示例包括船到達和離開的時程表、客戶關係管理、人力資源和試算表。

在訪問 SaaS 應用程式期間，最終使用者使用相同行動裝置與選定的使用者組一起發微博、寫博客。 如果允許使用者從公司保護分區的應用程式中下載資料，那麼使用者就會放棄遠端從安全的 Dropbox 中下載資料的機會，使用者以後可以檢索這些資料，或者在其他微博或博客中討論它們。

SaaS 供應商控制：供應商至少應通過限制授權使用者的數量來管理存取控制，這些使用者如前面使用者閾值策略所述，可併發訪問應用程式。 供應商可以限制使用前面社交媒體閾值策略所述的社交媒體工具的使用者的數量。 供應商控制運行 SaaS 應用程式所需的作業系統、伺服器和網路基礎架構。 供應商還控制下載到行動裝置或使用該設備的社交媒體工具。

用 PaaS 構建 SaaS 應用程式

與 SaaS 使用者相比，PaaS 使用者可以更多地控制應用程式。

開發人員移動控制：開發人員控制並保護在整個企業生命週期中發現的所有應用程式，而且該生命週期由獨立軟體廠商、創業公司、大型企業的單位或政府部門來創建並託管。 例如，開發人員構建、部署並運行自訂的船隻到達和離開管理應用程式。 作為企業生命週期一部分，開發人員使用社交媒體工具、試算表、文書處理軟體、帳單、薪資處理 (payroll processing) 和發票系統。

開發人員使用相同設備發微博、寫博客或使用 Facebook 來構成知識網路。 這些網路可説明開發人員獲取關於開發進程和技術的資訊，共用創新實踐並及時收到回復。 通過提供對開發人員狀況的近即時的回饋，作為一個團隊的開發人員可更加頻繁通過社交媒體帖子發表評論。

PaaS 供應商控制：供應商至少應控制運行 SaaS 應用程式所需的作業系統、伺服器和網路基礎架構。 供應商還控制下載到開發人員行動裝置上的社交媒體工具。 供應商可以設置使用者、資源、資料請求和社交媒體閾值水準。

IaaS 安全性原則重點關注如何訪問和保護資料以及如何管理虛擬機器。

網路專家移動控制：基礎架構或網路專家控制作業系統、網路設備和虛擬機器上部署的應用程式。 基礎架構專家可縮放虛擬伺服器或存儲區域塊，並使用社交媒體工具與其他 IaaS 基礎架構專家和 IaaS 平臺上的 PaaS 開發人員進行交流。

基礎架構或網路專家可使用相同設備發微博、寫博客，或者使用其他 IaaS 專家或 PaaS 開發人員的 Facebook 來構成知識網路。 這些網路有助於專家和開發人員獲取關於 IaaS 技術的資訊並及時收到回復。

IaaS 供應商控制：供應商至少要控制以虛擬機器為基礎的傳統計算資源基礎架構以及訪問 IaaS 所需的移動應用程式。 供應商可以控制合作環境所使用的社交媒體工具，還可以設置使用者、資源、資料請求和社交媒體閾值水準。

雲攻擊場景

我們來看看幾個場景，瞭解駭客如何使用社交媒體工具濫用 SaaS 使用者、PaaS 開發人員和 IaaS 基礎架構專家從他們行動裝置上訪問的雲服務。

SaaS 應用程式

最終使用者使用公司許可的 BYOD 安全地連接隨時可用的 SaaS 會計應用程式。 構建一個虛擬組，讓小組成員能夠同時訪問相同 SaaS 應用程式，本地（在相同位置）或遠端地（在不同位置）發微博、寫博客或使用 Facebook。

使用者將敏感資訊放在 Facebook 上，使得包括駭客在內的所有人都能看到這些資訊。 他們第一次註冊 Facebook 帳戶時，沒有更改預設設置。

最終使用者所不了解的是，Facebook 能獲取人臉識別軟體，該軟體使得駭客能夠使用來自 Facebook 的資料來識別上傳到 Facebook 的 SaaS 最終使用者。 SaaS 最終使用者忘記了更改 Facebook 設置。

駭客將偷來的資料放置在拖放區並使其受到感染。 他們將惡意程式碼發送到目標，用這些惡意程式碼來淹沒後臺資料庫。

SaaS 應用程式突然無法訪問。

PaaS 平臺

要用 PaaS 平臺開發複雜的 SaaS 應用程式，應組織一個大型的 PaaS 開發人員團隊。 該團隊基於小團隊突出的技能集，由彼此間存在不同關係的小團隊組成。 一個團隊具有另一個團隊在某個領域所沒有的熟練技能。

因為 SaaS 應用程式的交付日期很緊，所以團隊之間有必要發佈關於應用程式開發進展狀況的即時微博。 開發人員能獲得位於不同位置的團隊的最新進展報告。

當接近交付日期時，PaaS 會崩潰。 大部分開發人員忘記保護他們的微博帳戶。 保護了帳戶的開發人員很少受到駭客攻擊。 駭客會複製和更改個人資訊並將這些資訊存儲在 Dropbox 中，然後惡意攻擊這些開發人員，使其無法對雲進行存取控制。