毫不奇怪,随着云应用的快速发展,也吸引了众多潜在恶意人士的觊觎。虽然大部分的攻击行为都属于传统攻击类型,但对CSP(云服务供应商)的攻击组合较多且攻击规模较大,这表明黑客攻击的针对重点已有了一个较大的转变。 近年来,更是出现了一些直接针对托管基础设施的更为具体的云攻击。
利用漏洞实现的攻击:通过系统补丁、渗透测试及安全监控等措施缓解
每天都会有大量不同的漏洞被发现和发布,除非及时打补丁否则这些漏洞就会成为攻击者逃脱沙箱式云托管系统以获取访问云自身平台的权限。一个典型例子就是在2016年由Chris Dale发布的Microsoft Azure 零日跨站点脚本(XSS)漏洞。通过在Web服务器上使用一个XSS漏洞,Dale设法让网站崩溃然后在他们的浏览器中通过未授权JavaScript执行程序攻击故障排除软件即服务管理员。这是一个相对容易的攻击方法,它只覆盖了一个单一的平台,但是除它之外还有更多类似的漏洞,其中大部分仍然是公众所不知道的。
适当的系统补丁、定期的渗透测试以及实时的安全监控都是解决这些漏洞问题的最佳风险缓解措施。
因配置错误导致的攻击:使用正确的控制系统,建立稳定安全的标准解决
安全性措施通常重点关注有趣的漏洞,但往往很少关注常见的配置错误或不良实施。一个错误的配置(例如密码过于简单或使用默认密码)、一个不安全的API或者一个不当实施和打补丁的管理程序都有可能导致安全性问题。例如,可以使用API来管理系统、在不同系统之间自动推送或拉取数据以及完成更多的管理任务。如果这一通讯不安全,或者如果没有合适的认证手段,那么攻击者就能够操纵请求、数据甚至系统本身。
解决这类配置错误问题的最佳方法是使用正确的变更控制系统、在审查小组中吸收安全专家,以及建立稳定安全的配置标准。
操纵和盗用云同步令牌的攻击:采用恶意软件防护是关键
近期发现的云特定攻击是一种重点关注操纵和盗用用户云同步令牌的攻击方式。受害者通常会受到来自于恶意网站或电子邮件的恶意软件攻击,之后攻击者就可以访问其本地文件。攻击者的做法是,通过将云同步令牌替换为指向攻击着云账户的同步令牌,并将原始令牌放入待同步所选文件中,这样一来受害者就会不知不觉地将其原始令牌上传给攻击者。然后,攻击者就可以使用该令牌来访问受害者的实际云数据。
从防护攻击的角度来看,恶意软件防护是阻止此类云攻击的关键所在。
ddos分布式拒绝访问攻击:无法完全避免,用户应提高重视
由于CSP一般都拥有着较大的带宽容量,所以传统的分布式拒绝访问攻击(DDoS)方法就会显得无用武之地,因为DooS攻击的攻击原理是在同一时间使用众多系统向目标系统发送数据或服务请求以求明白目标系统来不及响应请求甚至崩溃,从而实现攻击目的。但是,我们已经看到,还有许多其他的可用方法能够对位于云平台中的目标系统实现拒绝访问状态的目的。2016年的Dyn攻击表明,即使是云平台本身也是可以出现运行瘫痪状态的。这是一个旨在降低web供应商Dyn域名系统基础设施运行效率的定向DDoS攻击。该攻击攻占了世界各地的大型网站与平台,例如亚马逊和Twitter。
从客户的角度来看,针对主机平台本身的攻击并没有太多的方法。但是,我们建议用户应调查评估大型DDoS攻击的数据流量是如何影响服务成本的。另外,还值得一试的是,CSP市场应研究各家供应商是分别采取何种保护措施来防止此类停机事件的。
总的来说,针对服务供应商的成功云攻击案例是很少见的,但是对于供应商及其客户而言,它们的影响有可能是非常巨大的。这些云攻击的风险是可管理的,虽然它需要一个泛式的方法,其中包括采取适当的安全控制措施、实时监控其产出、容量规划以及合适的变更控制策略。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 注意!云端通常会遇到的4种攻击类型及防范措施
