云攻擊正越來(lái)越多地瞄準(zhǔn)服務(wù)供應(yīng)商們。專家Frank Siemons在本文中介紹了服務(wù)供應(yīng)商與企業(yè)用戶應(yīng)當(dāng)予以防護(hù)的多種不同類(lèi)型的攻擊。

毫不奇怪，隨著云應(yīng)用的快速發(fā)展，也吸引了眾多潛在惡意人士的覬覦。企業(yè)用戶往往習(xí)慣于使用聯(lián)盟或VPN進(jìn)行直接連接或通過(guò)合作伙伴進(jìn)行連接。

現(xiàn)在，另一個(gè)能夠攻擊者提供訪問(wèn)級(jí)別的攻擊媒介竟然是云服務(wù)供應(yīng)商(CSP)，這在以往是前所未有的。違規(guī)CSP有可能會(huì)讓攻擊者訪問(wèn)受管客戶端，從而極大地增加云攻擊的成功率、影響力以及破壞性。

普華永道和BAE Systems于2017年4月發(fā)布了一份名為《Operation Cloud Hopper》的報(bào)告，報(bào)告指出中國(guó)黑客組織APT10集團(tuán)為實(shí)現(xiàn)某個(gè)目標(biāo)而攻擊了全球各大IT服務(wù)供應(yīng)商。雖然大部分的攻擊行為都屬于傳統(tǒng)攻擊類(lèi)型(例如魚(yú)叉式網(wǎng)絡(luò)釣魚(yú))，但對(duì)CSP的攻擊組合較多且攻擊規(guī)模較大，這表明黑客攻擊的針對(duì)重點(diǎn)已有了一個(gè)較大的轉(zhuǎn)變。 近年來(lái)，更是出現(xiàn)了一些直接針對(duì)托管基礎(chǔ)設(shè)施的更為具體的云攻擊。

使用漏洞轉(zhuǎn)發(fā)沙箱

每天都會(huì)有大量不同的漏洞被發(fā)現(xiàn)和發(fā)布，除非及時(shí)打補(bǔ)丁否則這些漏洞就會(huì)成為攻擊者逃脫沙箱式云托管系統(tǒng)以獲取訪問(wèn)云自身平臺(tái)的權(quán)限。一個(gè)典型例子就是在2016年由Chris Dale發(fā)布的Microsoft Azure 零日跨站點(diǎn)腳本（XSS）漏洞。通過(guò)在Web服務(wù)器上使用一個(gè)XSS漏洞，Dale設(shè)法讓網(wǎng)站崩潰然后在他們的瀏覽器中通過(guò)未授權(quán)JavaScript執(zhí)行程序攻擊故障排除軟件即服務(wù)管理員。這是一個(gè)相對(duì)容易的攻擊方法，它只覆蓋了一個(gè)單一的平臺(tái)，但是除它之外還有更多類(lèi)似的漏洞，其中大部分仍然是公眾所不知道的。

適當(dāng)?shù)南到y(tǒng)補(bǔ)丁、定期的滲透測(cè)試以及實(shí)時(shí)的安全監(jiān)控都是解決這些漏洞問(wèn)題的最佳風(fēng)險(xiǎn)緩解措施。

安全性措施通常重點(diǎn)關(guān)注有趣的漏洞，但往往很少關(guān)注常見(jiàn)的配置錯(cuò)誤或不良實(shí)施。一個(gè)錯(cuò)誤的配置（例如密碼過(guò)于簡(jiǎn)單或使用默認(rèn)密碼）、一個(gè)不安全的API或者一個(gè)不當(dāng)實(shí)施和打補(bǔ)丁的管理程序都有可能導(dǎo)致安全性問(wèn)題。

例如，可以使用API來(lái)管理系統(tǒng)、在不同系統(tǒng)之間自動(dòng)推送或拉取數(shù)據(jù)以及完成更多的管理任務(wù)。如果這一通訊不安全，或者如果沒(méi)有合適的認(rèn)證手段，那么攻擊者就能夠操縱請(qǐng)求、數(shù)據(jù)甚至系統(tǒng)本身。

解決這類(lèi)配置錯(cuò)誤問(wèn)題的最佳方法是使用正確的變更控制系統(tǒng)、在審查小組中吸收安全專家，以及建立穩(wěn)定安全的配置標(biāo)準(zhǔn)。

近期發(fā)現(xiàn)的云特定攻擊是一種重點(diǎn)關(guān)注操縱和盜用用戶云同步令牌的攻擊方式。受害者通常會(huì)受到來(lái)自于惡意網(wǎng)站或電子郵件的惡意軟件攻擊，之后攻擊者就可以訪問(wèn)其本地文件。攻擊者的做法是，通過(guò)將云同步令牌替換為指向攻擊著云賬戶的同步令牌，并將原始令牌放入待同步所選文件中，這樣一來(lái)受害者就會(huì)不知不覺(jué)地將其原始令牌上傳給攻擊者。然后，攻擊者就可以使用該令牌來(lái)訪問(wèn)受害者的實(shí)際云數(shù)據(jù)。

從防護(hù)攻擊的角度來(lái)看，惡意軟件防護(hù)是阻止此類(lèi)云攻擊的關(guān)鍵所在。

分布式拒絕訪問(wèn)攻擊

由于CSP一般都擁有著較大的帶寬容量，所以傳統(tǒng)的分布式拒絕訪問(wèn)攻擊（DDoS）方法就會(huì)顯得無(wú)用武之地，因?yàn)镈ooS攻擊的攻擊原理是在同一時(shí)間使用眾多系統(tǒng)向目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)或服務(wù)請(qǐng)求以求明白目標(biāo)系統(tǒng)來(lái)不及響應(yīng)請(qǐng)求甚至崩潰，從而實(shí)現(xiàn)攻擊目的。但是，我們已經(jīng)看到，還有許多其他的可用方法能夠?qū)ξ挥谠破脚_(tái)中的目標(biāo)系統(tǒng)實(shí)現(xiàn)拒絕訪問(wèn)狀態(tài)的目的。

2016年的Dyn攻擊表明，即使是云平臺(tái)本身也是可以出現(xiàn)運(yùn)行癱瘓狀態(tài)的。這是一個(gè)旨在降低web供應(yīng)商Dyn域名系統(tǒng)基礎(chǔ)設(shè)施運(yùn)行效率的定向DDoS攻擊。該攻擊攻占了世界各地的大型網(wǎng)站與平臺(tái)，例如亞馬遜和Twitter。

從客戶的角度來(lái)看，針對(duì)主機(jī)平臺(tái)本身的攻擊并沒(méi)有太多的方法。但是，我們建議用戶應(yīng)調(diào)查評(píng)估大型DDoS攻擊的數(shù)據(jù)流量是如何影響服務(wù)成本的。另外，還值得一試的是，CSP市場(chǎng)應(yīng)研究各家供應(yīng)商是分別采取何種保護(hù)措施來(lái)防止此類(lèi)停機(jī)事件的。

針對(duì)服務(wù)供應(yīng)商的成功云攻擊案例是很少見(jiàn)的，但是對(duì)于供應(yīng)商及其客戶而言，它們的影響有可能是非常巨大的。這些云攻擊的風(fēng)險(xiǎn)是可管理的，雖然它需要一個(gè)泛式的方法，其中包括采取適當(dāng)?shù)陌踩刂拼胧?、?shí)時(shí)監(jiān)控其產(chǎn)出、容量規(guī)劃以及合適的變更控制策略。