MITC攻击是企业安全面临的一个新威胁，并且通常不容易发现。专家Frank Siemons解释了攻击的工作原理以及我们该怎么发现和预防它。

　　多年来，越来越多的信息已经转移到并存储在许多云平台中。Dropbox，Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。任何人都可以仅仅通过点击鼠标，就可以设置本地文件夹和该文件夹云上的副本之间的同步服务，这样的服务成本很低或者根本没有成本。这些服务的好处—如自动化的异地数据备份，文件共享，协作以及任何地点任何时间系统无关地可以访问云数据—并没有被恶意实体忽视。一些有创造力的攻击者已经提出了一种被称为“man-in-the-cloud”或MitC攻击的技术。这种攻击利用“随时随地访问数据”的这一云存储特性。

　　Man-in-the-cloud攻击如何工作

　　关于这种攻击的细节有许多有趣的技术白皮书。除去一些深入的技术细节，过程其实很简单。与云服务同步的应用程序使用同步令牌来确保访问正确的帐户和数据。攻击者通常会通过社交工程攻击与恶意电子邮件附件相结合的形式，将恶意软件置于目标系统(称为交换机)上。一旦恶意软件启动，它将受害者的同步令牌转移到实际的数据同步文件夹。然后用攻击者精心设计的新令牌替换原始令牌。新令牌指向攻击者可以访问的帐户。当目标应用程序下一次与数据同步文件夹同步时，目标的原始同步令牌将被复制到攻击者的云上，随后攻击者可以从那里下载和使用。这使得攻击者可以从任何机器访问目标的云数据。它还使攻击者能够将恶意文件(例如被恶意软件感染的Word文档)同步回到目标的本地数据同步文件夹，并替换被攻击目标所信任的常用文件。交换机恶意软件可以将原始同步令牌复制并随时移除，从而有效地清除大部分攻击证据。

　　这种MitC攻击方法还有许多其他种类——一些针对目标云平台进行专门定制，还有一些具有附加功能(如安装后门)。然而，原理是一样的，同步数据的重要性使得通过它进行攻击成为一种非常危险的攻击方法。

　　检测

　　Mitc攻击很难被发现。使用不同的同步令牌(用户)对云服务进行登录可以预防它。如果没有这个事件相关的任何进一步的上下文，入侵检测系统或代理日志将显示发生的是看上去合法的云同步。这样的事件本身不会触发报警。谨慎的用户可以通过分析经由云的不同平台门户登录的地理位置历史记录来发现它，但这并不是最可靠的检测方法。

　　通过电子邮件安全网关或目标主机上随后的交换机恶意软件文件来检测出社交工程攻击的可能性要大得多。传统的或行为型的防毒产品应该能够处理大多数这种感染。依靠这些技术的好处是可以在攻击进程的早期就发现它，而且还可以手动或自动阻止它。

　　减轻损失

　　一旦发现了MitC袭击，攻击影响已被评估，且证据已被收集时，下面需要做的就是减轻损失。如前所述，熟练的攻击者会撤销所有系统更改，并删除所有相关的恶意文件。但是，情况并不总是这样。

　　一些攻击者并不担心留下证据。有时候，攻击或随后的清理过程可能会失败。但在任何情况下，都需要删除余留的恶意软件相关文件。关闭云端帐户并用新的帐户替换它也是个好主意。这将保证同步令牌不会被再次使用。不同的供应商可能有办法强制让某个ticket过期，但难以保证一定成功。

　　预防

　　防止社交工程攻击的最成功的方法是：在发生MitC攻击之前，通过综合的安全意识培训和适当的技术控制相结合的方式对它进行预防。例如，如果一名工作人员刚刚完成了每年的安全意识培训，她就不太可能打开恶意的电子邮件附件，这样就可以防止攻击者在组织的网络中站稳脚跟。如果用户打开该附件，那么传统的或下一代的防病毒产品应该能够检测并阻止恶意软件，而不需要用户进行操作。

　　一种针对MitC攻击特性的技术是云访问安全代理(CASB)。CASB可以部署在它可以被用作代理的地方，也可以部署在通过API来监视云平台流量的地方。这两个选项都各有优点，但是产品的主要功能是监控云通信量，例如由MitC攻击产生的帐户异常。

　　企业应该了解MitC攻击的威胁，并检查他们的云应用和基础架构，以了解这种攻击如何破坏其环境并导致数据泄露。他们还应密切监测员工的云活动，以识别云同步令牌被攻击者滥用的迹象。

　　责任编辑：DJ编辑