云攻击越来越多地瞄准服务提供商。企业网盘解决方案与免费的个人网盘相比,企业网盘具有更好的数据安全性,非单位人员一般无法获得系统登录地址,更不可能进入。同时企业网盘与个人网盘相比具有更强的团队协同功能,在组织架构、共享权限上能适应企业的需求。在多人共享、协作日常办公文档时能有效的提高工作效率。企业网盘基于云计算理念推出的企业数据网络存储和管理解决方案,利用互联网后台数据中心的海量计算和存储能力为企业提供数据汇总分发、存储备份和管理等服务。专家弗兰克Siemons推出了各种不同类型的攻击,服务供应商和企业用户应该在这篇文章中守卫。
毫不奇怪,随着云应用的快速发展,许多潜在的恶意用户觊觎它。企业用户通常使用联盟或vpn直接或通过合作伙伴进行连接。
现在,另一个可以为攻击者提供访问级别的攻击媒介是云服务提供商(CloudServiceProvider,CSP),这在过去是前所未有的。违反CSP可能允许攻击者访问托管客户端,极大地提高了云攻击的成功率、影响和破坏性。
普华永道和BAE系统公司在4月发布了题为“操作云斗”的报告,该报告指出,中国黑客APT10集团实现一个目标,攻击世界领先的IT服务提供商。虽然大部分的攻击是传统类型的攻击(如鱼叉式网络钓鱼)的一部分,但进攻更CSP和大规模攻击,这表明,对黑客攻击的重点发生重大变化的组合。近年来,对更具体的云托管基础设施更多一些直接攻击出现。
使用漏洞转发沙箱
每天都会发现和释放大量不同的漏洞。除非及时修补,否则这些漏洞将成为攻击者从沙盒云托管系统中逃脱,获得对云平台的访问。典型的例子是chris dale发布的microsoft azure中的零日跨站点脚本(xss)漏洞。通过在web服务器上使用xss漏洞,dale设法使站点崩溃,然后通过未经授权的javascript执行器攻击浏览器中的故障排除软件服务管理员。这是一种相对容易的攻击方法,只覆盖一个平台,但除此之外,还有更多类似的漏洞,其中大部分还是公众所不知道的。
适当的系统补丁、定期的渗透测试以及实时的安全监控都是解决这些漏洞问题的最佳风险缓解措施。
被用于云攻击的配置错误
安全性措施通常重点关注有趣的漏洞,但往往很少关注常见的配置错误或不良实施。一个错误的配置(例如密码过于简单或使用默认密码)、一个不安全的API或者一个不当实施和打补丁的管理程序都有可能导致安全性问题。
例如,可以使用API来管理系统、在不同系统之间自动推送或拉取数据以及完成更多的管理任务。如果这一通讯不安全,或者如果没有合适的认证手段,那么攻击者就能够操纵请求、数据甚至系统本身。
解决这类配置错误问题的最佳方法是使用正确的变更控制系统、在审查小组中吸收安全专家,以及建立稳定安全的配置标准。