云中人攻擊

關(guān)于云中人攻擊的技術(shù)文檔雖然很容易引起人們的興趣，但這種攻擊的過程卻相當(dāng)簡單。同步云服務(wù)的應(yīng)用程序使用一個(gè)同步令牌來訪問正確的賬號(hào)和數(shù)據(jù)。攻擊者通過社交工程攻擊，再結(jié)合惡意的電子郵件附件，就可以在目標(biāo)系統(tǒng)上安裝惡意軟件。在惡意軟件啟動(dòng)后，就將受害者的同步令牌移動(dòng)到實(shí)際的數(shù)據(jù)同步文件夾。然后用攻擊者偽造的令牌替換原始令牌。新令牌指向一個(gè)攻擊者可以訪問的賬戶。在目標(biāo)應(yīng)用下次同步數(shù)據(jù)文件夾時(shí)，目標(biāo)系統(tǒng)的原始同步令牌就從可被下載的任何地方被復(fù)制到攻擊者的云位置，然后再由攻擊者使用。這使得攻擊者可以從任何機(jī)器訪問目標(biāo)系統(tǒng)的云數(shù)據(jù)。由此還可以使攻擊者將惡意的文件同步到目標(biāo)系統(tǒng)的本地?cái)?shù)據(jù)文件夾，然后，再替換受害者信任的常用文件。目標(biāo)系統(tǒng)上的惡意軟件可以將原始的同步令牌復(fù)制回來，然后再在任何時(shí)間移除，從而有效地刪除攻擊的多數(shù)證據(jù)?！霸浦腥斯簟狈椒ǖ挠泻芏嗥渌淖兎N，有些專門針對(duì)目標(biāo)云平臺(tái)而定制，有些有更多特性，如安裝一個(gè)后門。但是，原理是相同的，再加上同步數(shù)據(jù)的重要性，這實(shí)在是一種非常危險(xiǎn)的攻擊方法。

檢測

檢測“云中人攻擊”是非常困難的。針對(duì)不同的同步令牌的云服務(wù)，都有一個(gè)登錄過程。如果沒有圍繞這種登錄事件的進(jìn)一步的環(huán)境，IDS或代理服務(wù)器的日志至多會(huì)顯示發(fā)生了一個(gè)看似合法的云同步，而其自身卻不會(huì)觸發(fā)警告。警惕的用戶可以分析云的不同平臺(tái)入口的地理位置歷史，但這種分析并非最可靠的檢測方法。通過電子郵件的反病毒網(wǎng)關(guān)，還可以存在檢測真實(shí)的社交工程攻擊的更好機(jī)會(huì)，或者是檢測目標(biāo)系統(tǒng)上的惡意軟件文件。傳統(tǒng)的或基于行為的反病毒方案應(yīng)當(dāng)能夠應(yīng)對(duì)其中的多數(shù)感染。依靠這些技術(shù)的好處是，可以在過程的早期就檢測到攻擊，并且在此時(shí)點(diǎn)上，還可以以人工或自動(dòng)方式阻止攻擊。

減輕威脅

在檢測到“云中人” 攻擊或局部的“云中人”攻擊并評(píng)估其影響和收集了證據(jù)后，就需要減輕威脅了。如前所述，熟練的攻擊者可能會(huì)撤銷所有的系統(tǒng)更改，并且已經(jīng)清除了所有相關(guān)的惡意軟件文件。不過，情況并非如此。有些攻擊者并不擔(dān)心留下證據(jù)。有時(shí)，攻擊過程或后續(xù)的清理過程會(huì)失敗。在任何情況下，都需要清除遺留下來的惡意軟件相關(guān)文件。

我們建議關(guān)閉云賬戶，并且用一個(gè)新賬戶來替換之。這種做法可以保證同步令牌再也不會(huì)被使用，因?yàn)橘~戶已經(jīng)被清除。不同的供應(yīng)商可能有迫使憑據(jù)到期的一些方法，但是可能很難證明哪些是成功的產(chǎn)品，因?yàn)楣粽卟⒉辉傩枰L問目標(biāo)系統(tǒng)，而且憑據(jù)已經(jīng)被復(fù)制。

防御

防御社交工程攻擊造成云中人攻擊的最成功的方法是全面的安全意識(shí)培訓(xùn)，并且還要加上足夠的技術(shù)控制。例如，如果一位工作人員已經(jīng)完成了每年的安全意識(shí)培訓(xùn)，他或她就不太可能打開惡意的電子郵件附件，從而可以防止攻擊者進(jìn)入企業(yè)的網(wǎng)絡(luò)。如果用戶并沒有打開附件，傳統(tǒng)的或下一代反病毒產(chǎn)品就能夠在無需用戶干預(yù)的情況下檢測并阻止惡意軟件。

更專門的針對(duì)性的云中人攻擊特征是云訪問安全代理（CASB）等之類的技術(shù)。CASB可以通過內(nèi)聯(lián)方式部署，從而起到代理服務(wù)器的作用，或者是通過API來部署，從而可以監(jiān)視與云平臺(tái)的通信。這兩種選項(xiàng)都有其優(yōu)勢，但是此產(chǎn)品的主要功能是監(jiān)視云通信的賬戶異常（這有可能是由云中人攻擊產(chǎn)生的異常）。

結(jié)論

“云中人的攻擊”給企業(yè)帶來了一些獨(dú)特的新挑戰(zhàn)。企業(yè)擁有傳統(tǒng)安全控制的堅(jiān)實(shí)基礎(chǔ)當(dāng)然有助于檢測和防御“云中人攻擊”的企圖。

企業(yè)不斷適應(yīng)云技術(shù)的過程將日益吸引惡意實(shí)體的目光，所以可以預(yù)料的是，我們會(huì)看到一些“云中人攻擊”之類的新攻擊形式在未來必將粉墨登場。