2015新云威胁来袭——云中间人攻击

跨设备、共享边界文件和访问应用程序的能力已经彻底改变了员工的合作方式。但这都不是good news。如“云中间人”(MITC)这种新的威胁方式,强调了保护存储在云端的数据是困难的。问题是很少有公司保护自己免受这一威胁,并且大多数人还不完全理解这一新攻击的威胁性。

2015新云威胁来袭——云中间人攻击

就在几天前,Imperva的应用防御中心(ADC)研究机构在2015年美国Black Hat上公布了 Auguesr Hacker Intelligence Initiative Report,该报告详细介绍了一个MITC如何将像 OneDrive,Google Drive,Box和Dropbox等流行的文件共享服务转变成具有毁灭性的攻击向量。这种攻击是不容易被常见的安全系统所能检测到的。

为了更好的让你了解该攻击,回答下面两个关键问题是很有帮助的

  • 什么是云中间人攻击?
  • 如何保护你的公司?

1、什么是云中间人攻击?

该攻击让hacker的梦想成真。

为什么?

因为MITC攻击是最基本的身份欺骗。

除了攻击者并不真正需要用户的凭证(即他们的身份)以外,这类的攻击与常见的传输于服务器与用户之间的数据的“中间人攻击”不同,这种攻击集中在token上,这个token是他们身份验证的小文件。

在网上,用户通常通过输入自己的用户名和密码来验证验证身份,与此同时,应用程序将会传输一个加密的token。Token由一连串字符串组成,看起来可能像这样-j1a0uubdsasrdfxxosdf4s-虽然有点长,但这是为了安全。

由于云存储服务,如Microsoft OneDrive、Google Drive和Dropbox依靠token进行身份验证,这意味着黑客将会为了获取访问云账户和数据的权限而将手伸向了这些token

一旦token通过网络钓鱼或drive-by攻击从受害者的帐户中被盗,黑客将会将token用于他们的设备。当云文件共享软件启动时,它将认定黑客的身份为受害者本人。

通常,黑客一直搜寻各种财务信息和商业秘密,之后拿去黑市上销售。然而,即使他们不卖你的信息,该攻击也经常会使账户不可恢复。换句话说,为了使您的公司摆脱有危害的token,删除一个用户账号必须要比生成一个新的token要来的简单。

在许多情况下,云存储服务通过白名单来免受恶意软件的控制,当一个员工使用自动文件同步客户端时,这个受到危害的帐户将成为坏人将感染文件传播到整个组织中的理想途径。

更令人吃惊的是,没有一个主要的云共享服务存在提醒系统,用以检测何时一个token已被窃取!

2、你如何保护你的公司?

抵御这种攻击的唯一途径是在为时已晚之前保持警惕并且使用安全监控软件。

我们建议的解决方案有两个方面:确认云文件同步帐户的危害,并且同样重要的是,识别出内部数据资源的滥用。我们的经验表明,攻击者最终目的在于企业数据, 而不是存储在云端的信息。因此,攻击者在某种意义上一定会表达明确自己不是典型的普通企业用户从而试图进一步访问内部业务数据。

以下这两步策略将有助于减轻MITC攻击的风险。步骤1涉及到确定一个云存储帐户已经受到危害,云端访问安全代理(CASB)服务,如 Imperva Skyfence,监控云服务并且通过检查云应用程序中的异常活动来防止账户被接管,使用CASB因为其内置的自动报警将大大减少检测时间,并且可以在任何活动阈实现。

相关推荐