MITC攻擊是企業(yè)安全面臨的一個(gè)新威脅，并且通常不容易發(fā)現(xiàn)。專家Frank Siemons解釋了攻擊的工作原理以及我們?cè)撛趺窗l(fā)現(xiàn)和預(yù)防它。

多年來(lái)，越來(lái)越多的信息已經(jīng)轉(zhuǎn)移到并存儲(chǔ)在許多云平臺(tái)中。Dropbox，Microsoft OneDrive和Google Drive等服務(wù)讓這樣的過(guò)程變得很容易。任何人都可以僅僅通過(guò)點(diǎn)擊鼠標(biāo)，就可以設(shè)置本地文件夾和該文件夾云上的副本之間的同步服務(wù)，這樣的服務(wù)成本很低或者根本沒(méi)有成本。這些服務(wù)的好處—如自動(dòng)化的異地?cái)?shù)據(jù)備份，文件共享，協(xié)作以及任何地點(diǎn)任何時(shí)間系統(tǒng)無(wú)關(guān)地可以訪問(wèn)云數(shù)據(jù)—并沒(méi)有被惡意實(shí)體忽視。一些有創(chuàng)造力的攻擊者已經(jīng)提出了一種被稱為“man-in-the-cloud”或MitC攻擊的技術(shù)。這種攻擊利用“隨時(shí)隨地訪問(wèn)數(shù)據(jù)”的這一云存儲(chǔ)特性。

Man-in-the-cloud攻擊如何工作

關(guān)于這種攻擊的細(xì)節(jié)有許多有趣的技術(shù)白皮書。除去一些深入的技術(shù)細(xì)節(jié)，過(guò)程其實(shí)很簡(jiǎn)單。與云服務(wù)同步的應(yīng)用程序使用同步令牌來(lái)確保訪問(wèn)正確的帳戶和數(shù)據(jù)。攻擊者通常會(huì)通過(guò)社交工程攻擊與惡意電子郵件附件相結(jié)合的形式，將惡意軟件置于目標(biāo)系統(tǒng)（稱為交換機(jī)）上。一旦惡意軟件啟動(dòng)，它將受害者的同步令牌轉(zhuǎn)移到實(shí)際的數(shù)據(jù)同步文件夾。然后用攻擊者精心設(shè)計(jì)的新令牌替換原始令牌。新令牌指向攻擊者可以訪問(wèn)的帳戶。當(dāng)目標(biāo)應(yīng)用程序下一次與數(shù)據(jù)同步文件夾同步時(shí)，目標(biāo)的原始同步令牌將被復(fù)制到攻擊者的云上，隨后攻擊者可以從那里下載和使用。這使得攻擊者可以從任何機(jī)器訪問(wèn)目標(biāo)的云數(shù)據(jù)。它還使攻擊者能夠?qū)阂馕募ɡ绫粣阂廛浖腥镜腤ord文檔）同步回到目標(biāo)的本地?cái)?shù)據(jù)同步文件夾，并替換被攻擊目標(biāo)所信任的常用文件。交換機(jī)惡意軟件可以將原始同步令牌復(fù)制并隨時(shí)移除，從而有效地清除大部分攻擊證據(jù)。

這種MitC攻擊方法還有許多其他種類——一些針對(duì)目標(biāo)云平臺(tái)進(jìn)行專門定制，還有一些具有附加功能（如安裝后門）。然而，原理是一樣的，同步數(shù)據(jù)的重要性使得通過(guò)它進(jìn)行攻擊成為一種非常危險(xiǎn)的攻擊方法。

檢測(cè)

Mitc攻擊很難被發(fā)現(xiàn)。使用不同的同步令牌（用戶）對(duì)云服務(wù)進(jìn)行登錄可以預(yù)防它。如果沒(méi)有這個(gè)事件相關(guān)的任何進(jìn)一步的上下文，入侵檢測(cè)系統(tǒng)或代理日志將顯示發(fā)生的是看上去合法的云同步。這樣的事件本身不會(huì)觸發(fā)報(bào)警。謹(jǐn)慎的用戶可以通過(guò)分析經(jīng)由云的不同平臺(tái)門戶登錄的地理位置歷史記錄來(lái)發(fā)現(xiàn)它，但這并不是最可靠的檢測(cè)方法。

通過(guò)電子郵件安全網(wǎng)關(guān)或目標(biāo)主機(jī)上隨后的交換機(jī)惡意軟件文件來(lái)檢測(cè)出社交工程攻擊的可能性要大得多。傳統(tǒng)的或行為型的防毒產(chǎn)品應(yīng)該能夠處理大多數(shù)這種感染。依靠這些技術(shù)的好處是可以在攻擊進(jìn)程的早期就發(fā)現(xiàn)它，而且還可以手動(dòng)或自動(dòng)阻止它。

減輕損失

一旦發(fā)現(xiàn)了MitC襲擊，攻擊影響已被評(píng)估，且證據(jù)已被收集時(shí)，下面需要做的就是減輕損失。如前所述，熟練的攻擊者會(huì)撤銷所有系統(tǒng)更改，并刪除所有相關(guān)的惡意文件。但是，情況并不總是這樣。

一些攻擊者并不擔(dān)心留下證據(jù)。有時(shí)候，攻擊或隨后的清理過(guò)程可能會(huì)失敗。但在任何情況下，都需要?jiǎng)h除余留的惡意軟件相關(guān)文件。關(guān)閉云端帳戶并用新的帳戶替換它也是個(gè)好主意。這將保證同步令牌不會(huì)被再次使用。不同的供應(yīng)商可能有辦法強(qiáng)制讓某個(gè)ticket過(guò)期，但難以保證一定成功。

預(yù)防

防止社交工程攻擊的最成功的方法是：在發(fā)生MitC攻擊之前，通過(guò)綜合的安全意識(shí)培訓(xùn)和適當(dāng)?shù)募夹g(shù)控制相結(jié)合的方式對(duì)它進(jìn)行預(yù)防。例如，如果一名工作人員剛剛完成了每年的安全意識(shí)培訓(xùn)，她就不太可能打開惡意的電子郵件附件，這樣就可以防止攻擊者在組織的網(wǎng)絡(luò)中站穩(wěn)腳跟。如果用戶打開該附件，那么傳統(tǒng)的或下一代的防病毒產(chǎn)品應(yīng)該能夠檢測(cè)并阻止惡意軟件，而不需要用戶進(jìn)行操作。

一種針對(duì)MitC攻擊特性的技術(shù)是云訪問(wèn)安全代理（CASB）。CASB可以部署在它可以被用作代理的地方，也可以部署在通過(guò)API來(lái)監(jiān)視云平臺(tái)流量的地方。這兩個(gè)選項(xiàng)都各有優(yōu)點(diǎn)，但是產(chǎn)品的主要功能是監(jiān)控云通信量，例如由MitC攻擊產(chǎn)生的帳戶異常。

企業(yè)應(yīng)該了解MitC攻擊的威脅，并檢查他們的云應(yīng)用和基礎(chǔ)架構(gòu)，以了解這種攻擊如何破壞其環(huán)境并導(dǎo)致數(shù)據(jù)泄露。他們還應(yīng)密切監(jiān)測(cè)員工的云活動(dòng)，以識(shí)別云同步令牌被攻擊者濫用的跡象。