跨設(shè)備、共享邊界文件和訪問應(yīng)用程序的能力已經(jīng)徹底改變了員工的合作方式。但這都不是good news。如“云中間人”(MITC)這種新的威脅方式,強(qiáng)調(diào)了保護(hù)存儲(chǔ)在云端的數(shù)據(jù)是困難的。問題是很少有公司保護(hù)自己免受這一威脅,并且大多數(shù)人還不完全理解這一新攻擊的威脅性。

就在幾天前,Imperva的應(yīng)用防御中心(ADC)研究機(jī)構(gòu)在2015年美國(guó)Black Hat上公布了Auguesr Hacker Intelligence Initiative Report,該報(bào)告詳細(xì)介紹了一個(gè)MITC如何將像OneDrive,Google Drive,Box和Dropbox等流行的文件共享服務(wù)轉(zhuǎn)變成具有毀滅性的攻擊向量。這種攻擊是不容易被常見的安全系統(tǒng)所能檢測(cè)到的。

為了更好的讓你了解該攻擊,回答下面兩個(gè)關(guān)鍵問題是很有幫助的

什么是云中間人攻擊?

如何保護(hù)你的公司?

1、什么是云中間人攻擊?

該攻擊讓hacker的夢(mèng)想成真。

為什么?

因?yàn)镸ITC攻擊是最基本的身份欺騙。

除了攻擊者并不真正需要用戶的憑證(即他們的身份)以外,這類的攻擊與常見的傳輸于服務(wù)器與用戶之間的數(shù)據(jù)的“中間人攻擊”不同,這種攻擊集中在token上,這個(gè)token是他們身份驗(yàn)證的小文件。

在網(wǎng)上,用戶通常通過(guò)輸入自己的用戶名和密碼來(lái)驗(yàn)證驗(yàn)證身份,與此同時(shí),應(yīng)用程序?qū)?huì)傳輸一個(gè)加密的token。Token由一連串字符串組成,看起來(lái)可能像這樣-j1a0uubdsasrdfxxosdf4s-雖然有點(diǎn)長(zhǎng),但這是為了安全。

由于云存儲(chǔ)服務(wù),如Microsoft OneDrive、Google Drive和Dropbox依靠token進(jìn)行身份驗(yàn)證,這意味著黑客將會(huì)為了獲取訪問云賬戶和數(shù)據(jù)的權(quán)限而將手伸向了這些token

一旦token通過(guò)網(wǎng)絡(luò)釣魚或drive-by攻擊從受害者的帳戶中被盜,黑客將會(huì)將token用于他們的設(shè)備。當(dāng)云文件共享軟件啟動(dòng)時(shí),它將認(rèn)定黑客的身份為受害者本人。

通常,黑客一直搜尋各種財(cái)務(wù)信息和商業(yè)秘密,之后拿去黑市上銷售。然而,即使他們不賣你的信息,該攻擊也經(jīng)常會(huì)使賬戶不可恢復(fù)。換句話說(shuō),為了使您的公司擺脫有危害的token,刪除一個(gè)用戶賬號(hào)必須要比生成一個(gè)新的token要來(lái)的簡(jiǎn)單。

在許多情況下,云存儲(chǔ)服務(wù)通過(guò)白名單來(lái)免受惡意軟件的控制,當(dāng)一個(gè)員工使用自動(dòng)文件同步客戶端時(shí),這個(gè)受到危害的帳戶將成為壞人將感染文件傳播到整個(gè)組織中的理想途徑。

更令人吃驚的是,沒有一個(gè)主要的云共享服務(wù)存在提醒系統(tǒng),用以檢測(cè)何時(shí)一個(gè)token已被竊取!

2、你如何保護(hù)你的公司?

抵御這種攻擊的唯一途徑是在為時(shí)已晚之前保持警惕并且使用安全監(jiān)控軟件。

我們建議的解決方案有兩個(gè)方面:確認(rèn)云文件同步帳戶的危害,并且同樣重要的是,識(shí)別出內(nèi)部數(shù)據(jù)資源的濫用。我們的經(jīng)驗(yàn)表明,攻擊者最終目的在于企業(yè)數(shù)據(jù), 而不是存儲(chǔ)在云端的信息。因此,攻擊者在某種意義上一定會(huì)表達(dá)明確自己不是典型的普通企業(yè)用戶從而試圖進(jìn)一步訪問內(nèi)部業(yè)務(wù)數(shù)據(jù)。

以下這兩步策略將有助于減輕MITC攻擊的風(fēng)險(xiǎn)。步驟1涉及到確定一個(gè)云存儲(chǔ)帳戶已經(jīng)受到危害,云端訪問安全代理(CASB)服務(wù),如Imperva Skyfence,監(jiān)控云服務(wù)并且通過(guò)檢查云應(yīng)用程序中的異?；顒?dòng)來(lái)防止賬戶被接管,使用CASB因?yàn)槠鋬?nèi)置的自動(dòng)報(bào)警將大大減少檢測(cè)時(shí)間,并且可以在任何活動(dòng)閾實(shí)現(xiàn)。

步驟2涉及在他們的業(yè)務(wù)數(shù)據(jù)資源部署控件如數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(DAM)和文件活動(dòng)監(jiān)控(FAM),從而識(shí)別異常和濫用對(duì)數(shù)據(jù)的訪問。