防御和截殺“云中人攻擊”

云中人攻擊

關于云中人攻擊的技術文檔雖然很容易引起人們的興趣，但這種攻擊的過程卻相當簡單。同步云服務的應用程序使用一個同步令牌來訪問正確的賬號和數據。攻擊者通過社交工程攻擊，再結合惡意的電子郵件附件，就可以在目標系統上安裝惡意軟件。在惡意軟件啟動后，就將受害者的同步令牌移動到實際的數據同步文件夾。然后用攻擊者偽造的令牌替換原始令牌。新令牌指向一個攻擊者可以訪問的賬戶。在目標應用下次同步數據文件夾時，目標系統的原始同步令牌就從可被下載的任何地方被復制到攻擊者的云位置，然后再由攻擊者使用。這使得攻擊者可以從任何機器訪問目標系統的云數據。由此還可以使攻擊者將惡意的文件同步到目標系統的本地數據文件夾，然后，再替換受害者信任的常用文件。目標系統上的惡意軟件可以將原始的同步令牌復制回來，然后再在任何時間移除，從而有效地刪除攻擊的多數證據。“云中人攻擊”方法的有很多其它的變種，有些專門針對目標云平臺而定制，有些有更多特性，如安裝一個后門。但是，原理是相同的，再加上同步數據的重要性，這實在是一種非常危險的攻擊方法。

檢測

檢測“云中人攻擊”是非常困難的。針對不同的同步令牌的云服務，都有一個登錄過程。如果沒有圍繞這種登錄事件的進一步的環境，IDS或代理服務器的日志至多會顯示發生了一個看似合法的云同步，而其自身卻不會觸發警告。警惕的用戶可以分析云的不同平臺入口的地理位置歷史，但這種分析并非最可靠的檢測方法。通過電子郵件的反病毒網關，還可以存在檢測真實的社交工程攻擊的更好機會，或者是檢測目標系統上的惡意軟件文件。傳統的或基于行為的反病毒方案應當能夠應對其中的多數感染。依靠這些技術的好處是，可以在過程的早期就檢測到攻擊，并且在此時點上，還可以以人工或自動方式阻止攻擊。

減輕威脅

在檢測到“云中人” 攻擊或局部的“云中人”攻擊并評估其影響和收集了證據后，就需要減輕威脅了。如前所述，熟練的攻擊者可能會撤銷所有的系統更改，并且已經清除了所有相關的惡意軟件文件。不過，情況并非如此。有些攻擊者并不擔心留下證據。有時，攻擊過程或后續的清理過程會失敗。在任何情況下，都需要清除遺留下來的惡意軟件相關文件。

我們建議關閉云賬戶，并且用一個新賬戶來替換之。這種做法可以保證同步令牌再也不會被使用，因為賬戶已經被清除。不同的供應商可能有迫使憑據到期的一些方法，但是可能很難證明哪些是成功的產品，因為攻擊者并不再需要訪問目標系統，而且憑據已經被復制。

防御

防御社交工程攻擊造成云中人攻擊的最成功的方法是全面的安全意識培訓，并且還要加上足夠的技術控制。例如，如果一位工作人員已經完成了每年的安全意識培訓，他或她就不太可能打開惡意的電子郵件附件，從而可以防止攻擊者進入企業的網絡。如果用戶并沒有打開附件，傳統的或下一代反病毒產品就能夠在無需用戶干預的情況下檢測并阻止惡意軟件。

更專門的針對性的云中人攻擊特征是云訪問安全代理（CASB）等之類的技術。CASB可以通過內聯方式部署，從而起到代理服務器的作用，或者是通過API來部署，從而可以監視與云平臺的通信。這兩種選項都有其優勢，但是此產品的主要功能是監視云通信的賬戶異常（這有可能是由云中人攻擊產生的異常）。

結論

“云中人的攻擊”給企業帶來了一些獨特的新挑戰。企業擁有傳統安全控制的堅實基礎當然有助于檢測和防御“云中人攻擊”的企圖。

企業不斷適應云技術的過程將日益吸引惡意實體的目光，所以可以預料的是，我們會看到一些“云中人攻擊”之類的新攻擊形式在未來必將粉墨登場。