跨設備、共享邊界文件和訪問應用程序的能力已經徹底改變了員工的合作方式。但這都不是good news。如“云中間人”(MITC)這種新的威脅方式,強調了保護存儲在云端的數據是困難的。問題是很少有公司保護自己免受這一威脅,并且大多數人還不完全理解這一新攻擊的威脅性。

就在幾天前,Imperva的應用防御中心(ADC)研究機構在2015年美國Black Hat上公布了 Auguesr Hacker Intelligence Initiative Report,該報告詳細介紹了一個MITC如何將像 OneDrive,Google Drive,Box和Dropbox等流行的文件共享服務轉變成具有毀滅性的攻擊向量。這種攻擊是不容易被常見的安全系統所能檢測到的。

為了更好的讓你了解該攻擊,回答下面兩個關鍵問題是很有幫助的

什么是云中間人攻擊?

如何保護你的公司?

1、什么是云中間人攻擊?

該攻擊讓hacker的夢想成真。

為什么?

因為MITC攻擊是最基本的身份欺騙。

除了攻擊者并不真正需要用戶的憑證(即他們的身份)以外,這類的攻擊與常見的傳輸于服務器與用戶之間的數據的“中間人攻擊”不同,這種攻擊集中在token上,這個token是他們身份驗證的小文件。

在網上,用戶通常通過輸入自己的用戶名和密碼來驗證驗證身份,與此同時,應用程序將會傳輸一個加密的token。Token由一連串字符串組成,看起來可能像這樣-j1a0uubdsasrdfxxosdf4s-雖然有點長,但這是為了安全。

由于云存儲服務,如Microsoft OneDrive、Google Drive和Dropbox依靠token進行身份驗證,這意味著黑客將會為了獲取訪問云賬戶和數據的權限而將手伸向了這些token

一旦token通過網絡釣魚或drive-by攻擊從受害者的帳戶中被盜,黑客將會將token用于他們的設備。當云文件共享軟件啟動時,它將認定黑客的身份為受害者本人。

通常,黑客一直搜尋各種財務信息和商業秘密,之后拿去黑市上銷售。然而,即使他們不賣你的信息,該攻擊也經常會使賬戶不可恢復。換句話說,為了使您的公司擺脫有危害的token,刪除一個用戶賬號必須要比生成一個新的token要來的簡單。

在許多情況下,云存儲服務通過白名單來免受惡意軟件的控制,當一個員工使用自動文件同步客戶端時,這個受到危害的帳戶將成為壞人將感染文件傳播到整個組織中的理想途徑。

更令人吃驚的是,沒有一個主要的云共享服務存在提醒系統,用以檢測何時一個token已被竊取!

2、你如何保護你的公司?

抵御這種攻擊的唯一途徑是在為時已晚之前保持警惕并且使用安全監控軟件。

我們建議的解決方案有兩個方面:確認云文件同步帳戶的危害,并且同樣重要的是,識別出內部數據資源的濫用。我們的經驗表明,攻擊者最終目的在于企業數據, 而不是存儲在云端的信息。因此,攻擊者在某種意義上一定會表達明確自己不是典型的普通企業用戶從而試圖進一步訪問內部業務數據。

以下這兩步策略將有助于減輕MITC攻擊的風險。步驟1涉及到確定一個云存儲帳戶已經受到危害,云端訪問安全代理(CASB)服務,如 Imperva Skyfence,監控云服務并且通過檢查云應用程序中的異常活動來防止賬戶被接管,使用CASB因為其內置的自動報警將大大減少檢測時間,并且可以在任何活動閾實現。

步驟2涉及在他們的業務數據資源部署控件如數據庫活動監控(DAM)和文件活動監控(FAM),從而識別異常和濫用對數據的訪問。