如何发现和预防man-in-the-cloud攻击

日期:2017-4-20作者:Frank Siemons翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

MITC攻击是企业安全面临的一个新威胁,并且通常不容易发现。专家Frank Siemons解释了攻击的工作原理以及我们该怎么发现和预防它。

多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。任何人都可以仅仅通过点击鼠标,就可以设置本地文件夹和该文件夹云上的副本之间的同步服务,这样的服务成本很低或者根本没有成本。这些服务的好处—如自动化的异地数据备份,文件共享,协作以及任何地点任何时间系统无关地可以访问云数据—并没有被恶意实体忽视。一些有创造力的攻击者已经提出了一种被称为“man-in-the-cloud”或MitC攻击的技术。这种攻击利用“随时随地访问数据”的这一云存储特性。

Man-in-the-cloud攻击如何工作

关于这种攻击的细节有许多有趣的技术白皮书。除去一些深入的技术细节,过程其实很简单。与云服务同步的应用程序使用同步令牌来确保访问正确的帐户和数据。攻击者通常会通过社交工程攻击与恶意电子邮件附件相结合的形式,将恶意软件置于目标系统(称为交换机)上。一旦恶意软件启动,它将受害者的同步令牌转移到实际的数据同步文件夹。然后用攻击者精心设计的新令牌替换原始令牌。新令牌指向攻击者可以访问的帐户。当目标应用程序下一次与数据同步文件夹同步时,目标的原始同步令牌将被复制到攻击者的云上,随后攻击者可以从那里下载和使用。这使得攻击者可以从任何机器访问目标的云数据。它还使攻击者能够将恶意文件(例如被恶意软件感染的Word文档)同步回到目标的本地数据同步文件夹,并替换被攻击目标所信任的常用文件。交换机恶意软件可以将原始同步令牌复制并随时移除,从而有效地清除大部分攻击证据。

这种MitC攻击方法还有许多其他种类——一些针对目标云平台进行专门定制,还有一些具有附加功能(如安装后门)。然而,原理是一样的,同步数据的重要性使得通过它进行攻击成为一种非常危险的攻击方法。

检测

Mitc攻击很难被发现。使用不同的同步令牌(用户)对云服务进行登录可以预防它。如果没有这个事件相关的任何进一步的上下文,入侵检测系统或代理日志将显示发生的是看上去合法的云同步。这样的事件本身不会触发报警。谨慎的用户可以通过分析经由云的不同平台门户登录的地理位置历史记录来发现它,但这并不是最可靠的检测方法。

通过电子邮件安全网关或目标主机上随后的交换机恶意软件文件来检测出社交工程攻击的可能性要大得多。传统的或行为型的防毒产品应该能够处理大多数这种感染。依靠这些技术的好处是可以在攻击进程的早期就发现它,而且还可以手动或自动阻止它。

减轻损失

一旦发现了MitC袭击,攻击影响已被评估,且证据已被收集时,下面需要做的就是减轻损失。如前所述,熟练的攻击者会撤销所有系统更改,并删除所有相关的恶意文件。但是,情况并不总是这样。

一些攻击者并不担心留下证据。有时候,攻击或随后的清理过程可能会失败。但在任何情况下,都需要删除余留的恶意软件相关文件。关闭云端帐户并用新的帐户替换它也是个好主意。这将保证同步令牌不会被再次使用。不同的供应商可能有办法强制让某个ticket过期,但难以保证一定成功。

预防

防止社交工程攻击的最成功的方法是:在发生MitC攻击之前,通过综合的安全意识培训和适当的技术控制相结合的方式对它进行预防。例如,如果一名工作人员刚刚完成了每年的安全意识培训,她就不太可能打开恶意的电子邮件附件,这样就可以防止攻击者在组织的网络中站稳脚跟。如果用户打开该附件,那么传统的或下一代的防病毒产品应该能够检测并阻止恶意软件,而不需要用户进行操作。

一种针对MitC攻击特性的技术是云访问安全代理(CASB)。CASB可以部署在它可以被用作代理的地方,也可以部署在通过API来监视云平台流量的地方。这两个选项都各有优点,但是产品的主要功能是监控云通信量,例如由MitC攻击产生的帐户异常。

企业应该了解MitC攻击的威胁,并检查他们的云应用和基础架构,以了解这种攻击如何破坏其环境并导致数据泄露。他们还应密切监测员工的云活动,以识别云同步令牌被攻击者滥用的迹象。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

相关推荐

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 看“风水反转”技术如何危害云安全

    在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

  • 初探云供应商责任共担模式,你认为靠谱吗?

    随着云计算应用的不断增长,对于数据保护和网络安全的责任共担模式概念也逐渐地深入人心。虽然责任共担模式并不是一个新的概念,但是安全责任共担本质已随着云而发生了变化。

技术手册>更多

  • 私有云实施前准备

    越来多的企业倾向于私有云的选择,因为他们既想要利用云计算的优势,但又不想因为采用公有云,而被迫放弃他们手中的控制权,因此私有云变得越来越受欢迎。

  • 解密后端即服务(BaaS)

    后端即服务(BaaS)作为通向后端的一个不同方法已经兴起—它包含服务器、应用程序和支持应用程序面向用户的前端数据库—通过引入云服务架构通向后端流程。虽然是新的,但它已经有了许多的厂商,随着BaaS商场的不断增长,越来越多的开发团队开始注意到移动应用领域的这个新生儿。

  • 下一代数据中心交换网络:云计算虚拟化交换网络

    下一代数据中心交换网络:云计算虚拟化交换网络。在云计算漫漫之旅上,虚拟化将是我们建设架构即服务云不得不跨越的一道坎,而大规模部署虚拟化更是给传统数据中心管理模式、服务器、存储和网络架构规划管理带来巨大的挑战。

  • 移动云服务设计

    最好的移动设备管理策略将涉及手持终端中的托管移动设备代理功能,它需要得到设备制造商的支持和采购方的同意。这个代理能够监控设备、通知不寻常状态的所有者、在应用上实施政策以及为企业用户应用文件。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心