MITC攻擊是企業(yè)安全面臨的一個新威脅，并且通常不容易發(fā)現(xiàn)。專家Frank Siemons解釋了攻擊的工作原理以及我們該怎么發(fā)現(xiàn)和預防它。

多年來，越來越多的信息已經(jīng)轉(zhuǎn)移到并存儲在許多云平臺中。Dropbox，Microsoft OneDrive和Google Drive等服務讓這樣的過程變得很容易。任何人都可以僅僅通過點擊鼠標，就可以設置本地文件夾和該文件夾云上的副本之間的同步服務，這樣的服務成本很低或者根本沒有成本。這些服務的好處—如自動化的異地數(shù)據(jù)備份，文件共享，協(xié)作以及任何地點任何時間系統(tǒng)無關地可以訪問云數(shù)據(jù)—并沒有被惡意實體忽視。一些有創(chuàng)造力的攻擊者已經(jīng)提出了一種被稱為“man-in-the-cloud”或MitC攻擊的技術。這種攻擊利用“隨時隨地訪問數(shù)據(jù)”的這一云存儲特性。

Man-in-the-cloud攻擊如何工作

關于這種攻擊的細節(jié)有許多有趣的技術白皮書。除去一些深入的技術細節(jié)，過程其實很簡單。與云服務同步的應用程序使用同步令牌來確保訪問正確的帳戶和數(shù)據(jù)。攻擊者通常會通過社交工程攻擊與惡意電子郵件附件相結(jié)合的形式，將惡意軟件置于目標系統(tǒng)（稱為交換機）上。一旦惡意軟件啟動，它將受害者的同步令牌轉(zhuǎn)移到實際的數(shù)據(jù)同步文件夾。然后用攻擊者精心設計的新令牌替換原始令牌。新令牌指向攻擊者可以訪問的帳戶。當目標應用程序下一次與數(shù)據(jù)同步文件夾同步時，目標的原始同步令牌將被復制到攻擊者的云上，隨后攻擊者可以從那里下載和使用。這使得攻擊者可以從任何機器訪問目標的云數(shù)據(jù)。它還使攻擊者能夠?qū)阂馕募ɡ绫粣阂廛浖腥镜腤ord文檔）同步回到目標的本地數(shù)據(jù)同步文件夾，并替換被攻擊目標所信任的常用文件。交換機惡意軟件可以將原始同步令牌復制并隨時移除，從而有效地清除大部分攻擊證據(jù)。

這種MitC攻擊方法還有許多其他種類——一些針對目標云平臺進行專門定制，還有一些具有附加功能（如安裝后門）。然而，原理是一樣的，同步數(shù)據(jù)的重要性使得通過它進行攻擊成為一種非常危險的攻擊方法。

檢測

Mitc攻擊很難被發(fā)現(xiàn)。使用不同的同步令牌（用戶）對云服務進行登錄可以預防它。如果沒有這個事件相關的任何進一步的上下文，入侵檢測系統(tǒng)或代理日志將顯示發(fā)生的是看上去合法的云同步。這樣的事件本身不會觸發(fā)報警。謹慎的用戶可以通過分析經(jīng)由云的不同平臺門戶登錄的地理位置歷史記錄來發(fā)現(xiàn)它，但這并不是最可靠的檢測方法。

通過電子郵件安全網(wǎng)關或目標主機上隨后的交換機惡意軟件文件來檢測出社交工程攻擊的可能性要大得多。傳統(tǒng)的或行為型的防毒產(chǎn)品應該能夠處理大多數(shù)這種感染。依靠這些技術的好處是可以在攻擊進程的早期就發(fā)現(xiàn)它，而且還可以手動或自動阻止它。

減輕損失

一旦發(fā)現(xiàn)了MitC襲擊，攻擊影響已被評估，且證據(jù)已被收集時，下面需要做的就是減輕損失。如前所述，熟練的攻擊者會撤銷所有系統(tǒng)更改，并刪除所有相關的惡意文件。但是，情況并不總是這樣。

一些攻擊者并不擔心留下證據(jù)。有時候，攻擊或隨后的清理過程可能會失敗。但在任何情況下，都需要刪除余留的惡意軟件相關文件。關閉云端帳戶并用新的帳戶替換它也是個好主意。這將保證同步令牌不會被再次使用。不同的供應商可能有辦法強制讓某個ticket過期，但難以保證一定成功。

預防

防止社交工程攻擊的最成功的方法是：在發(fā)生MitC攻擊之前，通過綜合的安全意識培訓和適當?shù)募夹g控制相結(jié)合的方式對它進行預防。例如，如果一名工作人員剛剛完成了每年的安全意識培訓，她就不太可能打開惡意的電子郵件附件，這樣就可以防止攻擊者在組織的網(wǎng)絡中站穩(wěn)腳跟。如果用戶打開該附件，那么傳統(tǒng)的或下一代的防病毒產(chǎn)品應該能夠檢測并阻止惡意軟件，而不需要用戶進行操作。

一種針對MitC攻擊特性的技術是云訪問安全代理（CASB）。CASB可以部署在它可以被用作代理的地方，也可以部署在通過API來監(jiān)視云平臺流量的地方。這兩個選項都各有優(yōu)點，但是產(chǎn)品的主要功能是監(jiān)控云通信量，例如由MitC攻擊產(chǎn)生的帳戶異常。

企業(yè)應該了解MitC攻擊的威脅，并檢查他們的云應用和基礎架構(gòu)，以了解這種攻擊如何破壞其環(huán)境并導致數(shù)據(jù)泄露。他們還應密切監(jiān)測員工的云活動，以識別云同步令牌被攻擊者濫用的跡象。