注意！雲端通常會遇到的4種攻擊類型及防範措施

08-20

毫不奇怪，隨著雲應用的快速發展，也吸引了眾多潛在惡意人士的覬覦。雖然大部分的攻擊行為都屬於傳統攻擊類型，但對CSP（雲服務供應商）的攻擊組合較多且攻擊規模較大，這表明黑客攻擊的針對重點已有了一個較大的轉變。近年來，更是出現了一些直接針對託管基礎設施的更為具體的雲攻擊。

利用漏洞實現的攻擊：通過系統補丁、滲透測試及安全監控等措施緩解

每天都會有大量不同的漏洞被發現和發布，除非及時打補丁否則這些漏洞就會成為攻擊者逃脫沙箱式雲託管系統以獲取訪問雲自身平台的許可權。一個典型例子就是在2016年由Chris Dale發布的Microsoft Azure 零日跨站點腳本(XSS)漏洞。通過在Web伺服器上使用一個XSS漏洞，Dale設法讓網站崩潰然後在他們的瀏覽器中通過未授權JavaScript執行程序攻擊故障排除軟體即服務管理員。這是一個相對容易的攻擊方法，它只覆蓋了一個單一的平台，但是除它之外還有更多類似的漏洞，其中大部分仍然是公眾所不知道的。

適當的系統補丁、定期的滲透測試以及實時的安全監控都是解決這些漏洞問題的最佳風險緩解措施。

因配置錯誤導致的攻擊：使用正確的控制系統，建立穩定安全的標準解決

安全性措施通常重點關注有趣的漏洞，但往往很少關注常見的配置錯誤或不良實施。一個錯誤的配置(例如密碼過於簡單或使用默認密碼)、一個不安全的API或者一個不當實施和打補丁的管理程序都有可能導致安全性問題。例如，可以使用API來管理系統、在不同系統之間自動推送或拉取數據以及完成更多的管理任務。如果這一通訊不安全，或者如果沒有合適的認證手段，那麼攻擊者就能夠操縱請求、數據甚至系統本身。

解決這類配置錯誤問題的最佳方法是使用正確的變更控制系統、在審查小組中吸收安全專家，以及建立穩定安全的配置標準。

操縱和盜用雲同步令牌的攻擊：採用惡意軟體防護是關鍵

近期發現的雲特定攻擊是一種重點關注操縱和盜用用戶雲同步令牌的攻擊方式。受害者通常會受到來自於惡意網站或電子郵件的惡意軟體攻擊，之後攻擊者就可以訪問其本地文件。攻擊者的做法是，通過將雲同步令牌替換為指向攻擊著雲賬戶的同步令牌，並將原始令牌放入待同步所選文件中，這樣一來受害者就會不知不覺地將其原始令牌上傳給攻擊者。然後，攻擊者就可以使用該令牌來訪問受害者的實際雲數據。

從防護攻擊的角度來看，惡意軟體防護是阻止此類雲攻擊的關鍵所在。

DDoS分散式拒絕訪問攻擊：無法完全避免，用戶應提高重視

由於CSP一般都擁有著較大的帶寬容量，所以傳統的分散式拒絕訪問攻擊(DDoS)方法就會顯得無用武之地，因為DooS攻擊的攻擊原理是在同一時間使用眾多系統向目標系統發送數據或服務請求以求明白目標系統來不及響應請求甚至崩潰，從而實現攻擊目的。但是，我們已經看到，還有許多其他的可用方法能夠對位於雲平台中的目標系統實現拒絕訪問狀態的目的。2016年的Dyn攻擊表明，即使是雲平台本身也是可以出現運行癱瘓狀態的。這是一個旨在降低web供應商Dyn域名系統基礎設施運行效率的定向DDoS攻擊。該攻擊攻佔了世界各地的大型網站與平台，例如亞馬遜和Twitter。

從客戶的角度來看，針對主機平台本身的攻擊並沒有太多的方法。但是，我們建議用戶應調查評估大型DDoS攻擊的數據流量是如何影響服務成本的。另外，還值得一試的是，CSP市場應研究各家供應商是分別採取何種保護措施來防止此類停機事件的。

總的來說，針對服務供應商的成功雲攻擊案例是很少見的，但是對於供應商及其客戶而言，它們的影響有可能是非常巨大的。這些雲攻擊的風險是可管理的，雖然它需要一個泛式的方法，其中包括採取適當的安全控制措施、實時監控其產出、容量規劃以及合適的變更控制策略。