В последнее время у киберпреступников обрела популярность новая форма атак, которую условно можно обозначить «Человек в облаке» (Man-in-the-Cloud, MitC) — по аналогии с атакой «Человек посередине» (Man-in-the-Middle, MitM). Целью таких атак является получение доступа к аккаунтам жертвы без необходимости использовать скомпрометированные учетные данные. Предлагаем разобраться в сути таких кибератак, а также порассуждать над тем, как защитить себя от них.
Чтобы получить доступ к облачным аккаунтам, в ходе атак «Человек в облаке» злоумышленники эксплуатируют систему синхронизации токенов протокола OAuth. Как правило, эта система используется облачными приложениями. Большинство популярных облачных сервисов — Dropbox, Microsoft OneDrive, Google Drive и другие — сохраняют один из своих токенов на устройстве пользователя после завершения первоначального процесса аутентификации. Это делается для того, чтобы улучшить удобство использования этих сервисов — пользователям не придется каждый раз вводить пароль, если у них будет токен OAuth. Однако есть и обратная сторона — принцип работы облачных сервисов (доступ отовсюду и в любое время) на деле значит, что токен позволит получить доступ с любого устройства. Таким образом, если злоумышленнику удастся скопировать токен, он сможет удаленно проникнуть в облачный аккаунт жертвы. По данным компании Minerva, чьи исследователи первыми обнаружили MitC-атаки, лучший способ заполучить необходимый для аутентификации токен — социальная инженерия. Используя этот распространенный вредоносный метод, злоумышленники заставляют жертву запустить вредоносную программу вроде Switcher, которая доставляется пользователю по электронной почте. Если пользователь запускает у себя в системе эту вредоносную программу, она устанавливает новый токен, который принадлежит новому аккаунту, созданному злоумышленником. После этого легитимный токен пользователя перемещается в облачную папку синхронизации. Затем при следующем процессе синхронизации данные жертвы будут синхронизированы с учетной записью атакующего. В заключении Switcher может вернуть оригинальный токен на устройство жертвы и зачистить все следы вредоносной деятельности. Теперь у злоумышленника есть полный доступ к аккаунту жертвы.
Как защититься от атак MitC Сама природа атак «Человек в облаке» затрудняет их обнаружение традиционными способами — например, защитой конечных точек или периметра. Однако есть несколько шагов, которые могут предпринять организации для существенной минимизации шансов быть пораженными атаками MitC. Рассмотрим их: Регулярно проводить обучающие курсы по кибербезопасности Одна из самых эффективных мер в то же время является самой элементарной. Как мы уже писали выше, MitC-атаки во многом полагаются на социальную инженерию. К счастью, хорошо обученный и при этом бдительный сотрудник куда с меньшей долей вероятности кликнет на вредоносную ссылку или откроет подозрительное вложение. Те организации, которые уделяют внимание своей кибербезопасности, должны организовать регулярные занятия по этой теме для своих сотрудников. Использовать шифрование для защиты данных в облаке Конечно, само по себе шифрование не сможет предотвратить атаки MitC, но оно сможет защитить от утечки, которая может стать следствием такой атаки. Поскольку ключи шифрования не сохраняются на устройстве пользователя, злоумышленник не сможет расшифровать данные, к которым получит доступ в результате успешной атаки. Задействовать двухфакторную аутентификацию 2FA — еще один эффективный способ снизить риск успешной атаки MitC. Возможность мультифакторной аутентификации предоставляют на сегодняшний день все ведущие облачные сервисы. Такой подход однозначно добавит еще один слой безопасности и пресечет стандартные попытки злоумышленника проникнуть в аккаунт. Инвестировать в брокеров безопасного доступа в облако — Cloud Access Security Broker (CASB) Это один из наиболее исчерпывающих методов защиты от киберугроз вроде атак «Человек в облаке». Решения CASB являются промежуточным звеном всего трафика, который передается между облачными приложениями организаций и конечными точками. Один из самых главных плюсов такого решения — CASB автоматически заменяют каждый токен OAuth зашифрованными копиями перед их отправкой конечным точкам. Когда устройство пытается получить доступ к облачному приложению, брокер получает уникальный зашифрованный токен, который тотчас дешифруется и передается дальше приложению. В этом случае вредоносный токен не пройдет валидацию, а злоумышленник не получит доступ к аккаунту потенциальной жертвы. Выводы С растущей популярностью облачных технологий разумно будет сразу побеспокоиться о способах предотвращения рисков. Как мы уже выяснили, одним из таких рисков являются атаки MitC, с помощью которых киберпреступники могут получить доступ к конфиденциальной информации. Если вы будете учитывать все те способы противостояния атакам такого вида, которые мы описали выше, ваше предприятие вряд ли станет легкой мишенью для различного рода криминальных элементов цифрового пространства.
Источник: https://www.anti-malware.ru/practice/methods/mitc-attack-explained
|