防御和截杀“云中人攻击”
2017-03-08
云中人攻击
关于云中人攻击的技术文档虽然很容易引起人们的兴趣,但这种攻击的过程却相当简单。同步云服务的应用程序使用一个同步令牌来访问正确的账号和数据。攻击者通过社交工程攻击,再结合恶意的电子邮件附件,就可以在目标系统上安装恶意软件。在恶意软件启动后,就将受害者的同步令牌移动到实际的数据同步文件夹。然后用攻击者伪造的令牌替换原始令牌。新令牌指向一个攻击者可以访问的账户。在目标应用下次同步数据文件夹时,目标系统的原始同步令牌就从可被下载的任何地方被复制到攻击者的云位置,然后再由攻击者使用。这使得攻击者可以从任何机器访问目标系统的云数据。由此还可以使攻击者将恶意的文件同步到目标系统的本地数据文件夹,然后,再替换受害者信任的常用文件。目标系统上的恶意软件可以将原始的同步令牌复制回来,然后再在任何时间移除,从而有效地删除攻击的多数证据。“云中人攻击”方法的有很多其它的变种,有些专门针对目标云平台而定制,有些有更多特性,如安装一个后门。但是,原理是相同的,再加上同步数据的重要性,这实在是一种非常危险的攻击方法。
检测
检测“云中人攻击”是非常困难的。针对不同的同步令牌的云服务,都有一个登录过程。如果没有围绕这种登录事件的进一步的环境,IDS或代理服务器的日志至多会显示发生了一个看似合法的云同步,而其自身却不会触发警告。警惕的用户可以分析云的不同平台入口的地理位置历史,但这种分析并非最可靠的检测方法。通过电子邮件的反病毒网关,还可以存在检测真实的社交工程攻击的更好机会,或者是检测目标系统上的恶意软件文件。传统的或基于行为的反病毒方案应当能够应对其中的多数感染。依靠这些技术的好处是,可以在过程的早期就检测到攻击,并且在此时点上,还可以以人工或自动方式阻止攻击。
减轻威胁
在检测到“云中人” 攻击或局部的“云中人”攻击并评估其影响和收集了证据后,就需要减轻威胁了。如前所述,熟练的攻击者可能会撤销所有的系统更改,并且已经清除了所有相关的恶意软件文件。不过,情况并非如此。有些攻击者并不担心留下证据。有时,攻击过程或后续的清理过程会失败。在任何情况下,都需要清除遗留下来的恶意软件相关文件。
我们建议关闭云账户,并且用一个新账户来替换之。这种做法可以保证同步令牌再也不会被使用,因为账户已经被清除。不同的供应商可能有迫使凭据到期的一些方法,但是可能很难证明哪些是成功的产品,因为攻击者并不再需要访问目标系统,而且凭据已经被复制。
防御
防御社交工程攻击造成云中人攻击的最成功的方法是全面的安全意识培训,并且还要加上足够的技术控制。例如,如果一位工作人员已经完成了每年的安全意识培训,他或她就不太可能打开恶意的电子邮件附件,从而可以防止攻击者进入企业的网络。如果用户并没有打开附件,传统的或下一代反病毒产品就能够在无需用户干预的情况下检测并阻止恶意软件。
更专门的针对性的云中人攻击特征是云访问安全代理(CASB)等之类的技术。CASB可以通过内联方式部署,从而起到代理服务器的作用,或者是通过API来部署,从而可以监视与云平台的通信。这两种选项都有其优势,但是此产品的主要功能是监视云通信的账户异常(这有可能是由云中人攻击产生的异常)。
结论
“云中人的攻击”给企业带来了一些独特的新挑战。企业拥有传统安全控制的坚实基础当然有助于检测和防御“云中人攻击”的企图。
企业不断适应云技术的过程将日益吸引恶意实体的目光,所以可以预料的是,我们会看到一些“云中人攻击”之类的新攻击形式在未来必将粉墨登场。