云攻击正越来越多地瞄准服务供应商们。专家Frank Siemons在本文中介绍了服务供应商与企业用户应当予以防护的多种不同类型的攻击。
毫不奇怪,随着云应用的快速发展,也吸引了众多潜在恶意人士的觊觎。企业用户往往习惯于使用联盟或VPN进行直接连接或通过合作伙伴进行连接。
现在,另一个能够攻击者提供访问级别的攻击媒介竟然是云服务供应商(CSP),这在以往是前所未有的。违规CSP有可能会让攻击者访问受管客户端,从而极大地增加云攻击的成功率、影响力以及破坏性。
普华永道和BAE Systems于2017年4月发布了一份名为《Operation Cloud Hopper》的报告,报告指出中国黑客组织APT10集团为实现某个目标而攻击了全球各大IT服务供应商。虽然大部分的攻击行为都属于传统攻击类型,但对CSP的攻击组合较多且攻击规模较大,这表明黑客攻击的针对重点已有了一个较大的转变。 近年来,更是出现了一些直接针对托管基础设施的更为具体的云攻击。
使用漏洞转发沙箱
每天都会有大量不同的漏洞被发现和发布,除非及时打补丁否则这些漏洞就会成为攻击者逃脱沙箱式云托管系统以获取访问云自身平台的权限。一个典型例子就是在2016年由Chris Dale发布的Microsoft Azure 零日跨站点脚本(XSS)漏洞。通过在Web服务器上使用一个XSS漏洞,Dale设法让网站崩溃然后在他们的浏览器中通过未授权JavaScript执行程序攻击故障排除软件即服务管理员。这是一个相对容易的攻击方法,它只覆盖了一个单一的平台,但是除它之外还有更多类似的漏洞,其中大部分仍然是公众所不知道的。
适当的系统补丁、定期的渗透测试以及实时的安全监控都是解决这些漏洞问题的最佳风险缓解措施。
被用于云攻击的配置错误
安全性措施通常重点关注有趣的漏洞,但往往很少关注常见的配置错误或不良实施。一个错误的配置(例如密码过于简单或使用默认密码)、一个不安全的API或者一个不当实施和打补丁的管理程序都有可能导致安全性问题。
例如,可以使用API来管理系统、在不同系统之间自动推送或拉取数据以及完成更多的管理任务。如果这一通讯不安全,或者如果没有合适的认证手段,那么攻击者就能够操纵请求、数据甚至系统本身。
解决这类配置错误问题的最佳方法是使用正确的变更控制系统、在审查小组中吸收安全专家,以及建立稳定安全的配置标准。
云特定攻击(Man-in-the-cloud attacks)
近期发现的云特定攻击是一种重点关注操纵和盗用用户云同步令牌的攻击方式。受害者通常会受到来自于恶意网站或电子邮件的恶意软件攻击,之后攻击者就可以访问其本地文件。攻击者的做法是,通过将云同步令牌替换为指向攻击着云账户的同步令牌,并将原始令牌放入待同步所选文件中,这样一来受害者就会不知不觉地将其原始令牌上传给攻击者。然后,攻击者就可以使用该令牌来访问受害者的实际云数据。
从防护攻击的角度来看,恶意软件防护是阻止此类云攻击的关键所在。
分布式拒绝访问攻击
由于CSP一般都拥有着较大的带宽容量,所以传统的分布式拒绝访问攻击(DDoS)方法就会显得无用武之地,因为DooS攻击的攻击原理是在同一时间使用众多系统向目标系统发送数据或服务请求以求明白目标系统来不及响应请求甚至崩溃,从而实现攻击目的。但是,我们已经看到,还有许多其他的可用方法能够对位于云平台中的目标系统实现拒绝访问状态的目的。
2016年的Dyn攻击表明,即使是云平台本身也是可以出现运行瘫痪状态的。这是一个旨在降低web供应商Dyn域名系统基础设施运行效率的定向DDoS攻击。该攻击攻占了世界各地的大型网站与平台,例如亚马逊和Twitter。
从客户的角度来看,针对主机平台本身的攻击并没有太多的方法。但是,我们建议用户应调查评估大型DDoS攻击的数据流量是如何影响服务成本的。另外,还值得一试的是,CSP市场应研究各家供应商是分别采取何种保护措施来防止此类停机事件的。
小结
针对服务供应商的成功云攻击案例是很少见的,但是对于供应商及其客户而言,它们的影响有可能是非常巨大的。这些云攻击的风险是可管理的,虽然它需要一个泛式的方法,其中包括采取适当的安全控制措施、实时监控其产出、容量规划以及合适的变更控制策略。