恶意软件从一台虚拟机蔓延到另一台上。基于虚拟化技术的隐身工具逃过了监测。这些威胁看上去很让人恐慌,但它们值得让你整夜都难以入睡么?
专家们表示:虚拟化技术仍旧处于部署的初级阶段,所以大部分对虚拟化环境的安全威胁对于大多数企业来说要么还是未来的事要么就太理论化。几乎还没有已经被披露的虚拟化技术漏洞。但那不意味着你以后也不会失眠,安全专家说道。
“这(虚拟化技术)是一个很大的结构改变,设计我们如何提供、部署、管理和保护资源。” 优利(Unisys)的安全改革主设计师
Christofer Hoff说,“虚拟化存在着一个假设的风险。”虚拟机漏洞的相对缺乏使得研究人员针对这项技术的大量工作将只能从零开始,Hoff
表示,而且事实是大部分的部署通常都是在内部而并非面向外部的。“但是一旦你看到产品中出现部署,并且变得面向外部…将会产生漏洞。”当然目前也存在着一
些确实的威胁,诸如一个名为“rogue”的虚拟机镜像偶然地——或者说有敌意地——进入了作为产品的机器中,这就是一个Hoff首先发现的“漏洞”。
虚拟化技术可望在未来几年中有一个飞跃。据Gartner的数据显示,70%的大企业计划在2010年前使用虚拟化技术以停用一些或者全部的特殊区域网
络。这仅仅这是开始,专家表示。微软上个月为一个存在于虚拟服务器和虚拟PC软件中的被称为“elevation of privilege”的漏洞打上
补丁。如果攻击着想在客户机操作系统上运行恶意代码,则此漏洞能够让攻击者在主机的操作系统上运行代码。
微软表示在推出新的基于
虚拟化的软件之前会设法捕捉到潜在的威胁。“此威胁确实存在并且我们正在认真地处理。”微软的安全发展工程师Brandon Baker说道,“对于
Windows Server2008中的Windows Server虚拟化,我们对威胁模型的开发作了投资以考虑攻击可能暴露自身的各种途径,并且
[我们]正在确认我们的代码可以对付这些假设的攻击。”
“我们希望在这些漏洞被公开之前尽可能多的发现并处理它们。我们必须在虚
拟化安全上做到未雨绸缪。”Baker表示。虚拟化技术漏洞的发现非常复杂而且艰难,Baker发现,而这项产业需要更好的工具来协助研究者。“作为一项
产业,[我们需要]在开发新工具以及改进现有工具方面做得更多以更早地发现这些个种类的漏洞,因为最终还是有一些对此非常感兴趣的人会找到系统的漏洞。”
漏洞并不是唯一能够让虚拟环境易于被攻击的东西:一些虚拟化技术产品,其特征本身就能用于发起一个攻击。例如,安全顾问和研究者
Mark Burnett说道,VMware的脚本自动控制用户编程接口中的一个漏洞,能够让主机上的恶意脚本运行程序并且危及到客户机操作系统的安全。
还有,很多东西都归结到你如何配置一个虚拟机。“配置每一样东西都有一些不安全的方法。”Matasano的安全主管Thomas Ptacek说。你
必须非常小心地处理如何迁移到虚拟机上,在何处存储以及按你的需要进行分块:“带有客户信息和信用卡数据的高敏感度应用软件不应该放在同时还要测试新软件
的虚拟机上。”微软公司的Baker表示,在Windows Server虚拟化技术中任何可以危机到客户-客户隔离的特征和漏洞“会被修正或者删除”。
“作为一个安全工程师,我最不想听到的一件事就是‘它是一个特征,不是漏洞’。”Baker表示,“任何我们所空开的从主机到客户机的剩余通道,诸如
Windows Server虚拟化技术中的VMBus,都被作为潜在的攻击对待并且经过了严格的分析和测试。”迄今为止,还没有任何管理程序有重大漏洞
或者受到攻击的报道,Blue Lane Technologies的产品实施高级副总裁Allwyn Sequeira表示。“我没有听说过任何一个客
户告诉[我们]他被攻击了的案例,”他说道,“就在最近,他们问我们是不是有对管理程序提供保护。”
眼下,正是暴风雨前的宁静,专家认为。“从现在开始的五年里,每一台机器都将运用到虚拟化技术,”Matasano的Ptacek认为。“它确实如此的重要,我们必须更认真地加以对待。”
分享到:
相关推荐
这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; ……”这时我才反应过来:“哦,原来...
不能忽视的新能源汽车安全性——基于新能源汽车起火问题进行分析.pdf
互联网企业Web系统易忽视漏洞分析 信息安全
不能忽视的电磁波辐射.pdf
新增漏洞数量爆发式增长 81%的企业发现的漏洞远比修补的要多的多...不要忽视“本地”利用漏洞 聚焦实际漏洞安全风险 国内某金融客户VPR应用案例 国内某金融单位VPR运用案例 基于风险的VM技术使企业首先关注最重要的事情
不可忽视的ASP.NET技术的学习顺序问题 不可忽视的ASP.NET技术的学习顺序问题 不可忽视的ASP.NET技术的学习顺序问题
为了在不同的数据库、工具和服务之间共享漏洞信息,需要定期向CVE (Common vulnerability and exposure)数据库报告...通过采用自动化技术或优化评审机制,避免了无效绩效考核的一些根本原因;不应忽视无效漏洞报告数据。
信息时代不能忽视的文化身份.pdf
不能忽视的新能源汽车安全.pdf
云计算安全技术不足 企业网络安全不容忽视.pdf
广西农业结构调整不能忽视杂粮生产.doc
「Android」互联网企业Web系统易忽视漏洞分析 - 安全人才 漏洞分析 网络安全 工控安全 系统安全 安全管理
产品人不能忽视的“创新思维”.docx
不能忽视班组长在安全决战中的作用.pdf
农村小学不能忽视学生独立阅读能力的培养.doc
经济复苏下不能忽视的PCB行业新危机.pdf
介绍c语言中一些容易被忽视的陷阱和漏洞,对于提高编程能力有很大帮助
本文为大家介绍了在电源设计中PCB设计不能忽视的几个要点,希望对大家有所帮助。
CGI漏洞的利用(一) GI漏洞向来是容易被人们忽视的问题,同时也是普遍存在的 一、phf.cgi攻击: phf是大家所熟悉的了,它本来是用来更新PHONEBOOK的,但是许多管理员对它不了解以至于造成了漏洞。
高考第一轮复习物理不能忽视新增知识点.pdf