四种常见的云攻击及其应对措施

news2024/11/14 1:11:35

随着云应用的快速发展,也吸引了众多潜在恶意人士的觊觎。企业用户往往习惯于使用联盟或VPN进行直接连接或通过合作伙伴进行连接。

现在,另一个能够攻击者提供访问级别的攻击媒介竟然是云服务供应商(CSP),这在以往是前所未有的。违规CSP有可能会让攻击者访问受管客户端,从而极大地增加云攻击的成功率、影响力以及破坏性。

普华永道和BAE Systems于2017年4月发布了一份名为《Operation Cloud Hopper》的报告,报告指出中国黑客组织APT10集团为实现某个目标而攻击了全球各大IT服务供应商。虽然大部分的攻击行为都属于传统攻击类型(例如鱼叉式网络钓鱼),但对CSP的攻击组合较多且攻击规模较大,这表明黑客攻击的针对重点已有了一个较大的转变。 近年来,更是出现了一些直接针对托管基础设施的更为具体的云攻击。

使用漏洞转发沙箱

每天都会有大量不同的漏洞被发现和发布,除非及时打补丁否则这些漏洞就会成为攻击者逃脱沙箱式云托管系统以获取访问云自身平台的权限。一个典型例子就是在2016年由Chris Dale发布的Microsoft Azure 零日跨站点脚本(XSS)漏洞。通过在Web服务器上使用一个XSS漏洞,Dale设法让网站崩溃然后在他们的浏览器中通过未授权JavaScript执行程序攻击故障排除软件即服务管理员。这是一个相对容易的攻击方法,它只覆盖了一个单一的平台,但是除它之外还有更多类似的漏洞,其中大部分仍然是公众所不知道的。

适当的系统补丁、定期的渗透测试以及实时的安全监控都是解决这些漏洞问题的最佳风险缓解措施。

被用于云攻击的配置错误

安全性措施通常重点关注有趣的漏洞,但往往很少关注常见的配置错误或不良实施。一个错误的配置(例如密码过于简单或使用默认密码)、一个不安全的API或者一个不当实施和打补丁的管理程序都有可能导致安全性问题。

例如,可以使用API来管理系统、在不同系统之间自动推送或拉取数据以及完成更多的管理任务。如果这一通讯不安全,或者如果没有合适的认证手段,那么攻击者就能够操纵请求、数据甚至系统本身。

解决这类配置错误问题的最佳方法是使用正确的变更控制系统、在审查小组中吸收安全专家,以及建立稳定安全的配置标准。

云特定攻击(Man-in-the-cloud attacks)

近期发现的云特定攻击是一种重点关注操纵和盗用用户云同步令牌的攻击方式。受害者通常会受到来自于恶意网站或电子邮件的恶意软件攻击,之后攻击者就可以访问其本地文件。攻击者的做法是,通过将云同步令牌替换为指向攻击着云账户的同步令牌,并将原始令牌放入待同步所选文件中,这样一来受害者就会不知不觉地将其原始令牌上传给攻击者。然后,攻击者就可以使用该令牌来访问受害者的实际云数据。

从防护攻击的角度来看,恶意软件防护是阻止此类云攻击的关键所在。

分布式拒绝访问攻击

由于CSP一般都拥有着较大的带宽容量,所以传统的分布式拒绝访问攻击(DDoS)方法就会显得无用武之地,因为DooS攻击的攻击原理是在同一时间使用众多系统向目标系统发送数据或服务请求以求明白目标系统来不及响应请求甚至崩溃,从而实现攻击目的。但是,我们已经看到,还有许多其他的可用方法能够对位于云平台中的目标系统实现拒绝访问状态的目的。

2016年的Dyn攻击表明,即使是云平台本身也是可以出现运行瘫痪状态的。这是一个旨在降低web供应商Dyn域名系统基础设施运行效率的定向DDoS攻击。该攻击攻占了世界各地的大型网站与平台,例如亚马逊和Twitter。

从客户的角度来看,针对主机平台本身的攻击并没有太多的方法。但是,我们建议用户应调查评估大型DDoS攻击的数据流量是如何影响服务成本的。另外,还值得一试的是,CSP市场应研究各家供应商是分别采取何种保护措施来防止此类停机事件的。

针对服务供应商的成功云攻击案例是很少见的,但是对于供应商及其客户而言,它们的影响有可能是非常巨大的。这些云攻击的风险是可管理的,虽然它需要一个泛式的方法,其中包括采取适当的安全控制措施、实时监控其产出、容量规划以及合适的变更控制策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2071568.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

秒懂C++之set、map的封装

目录 红黑树的泛型编程 改变比较方式:仿函数 迭代器模拟实现 运算符重载 begin/end !/运算符重载 测试 const Find [ ] 运算符重载 全部代码 RBTree.h Mymap.h Myset.h test.cpp 红黑树的泛型编程 既然我们要实现set,map的封装那肯定要用到我们前面所学…

LLaMa系列模型详解(原理介绍、代码解读):LLaMa_llama模型

LLaMA详解 LLaMA(Large Language Model Meta AI)是由Meta(前身为Facebook)开发的一种大规模语言模型,旨在提高自然语言处理(NLP)任务的性能。LLaMA基于变换器(Transformer&#xff…

只需5分钟!手把手教你安装StableDiffusion,开启AI图像生成新纪元

在这个数字化时代,人工智能(AI)技术已经深入到我们生活的每一个角落。 特别是在图像生成领域,AI技术的应用不仅极大地提高了创作效率,更开启了艺术创作的新纪元。 今天,我们将聚焦于StableDiffusion这一先…

【数据结构】关于二叉搜索树,你知道如何实现增删模拟吗???(超详解)

前言: 🌟🌟Hello家人们,这期讲解二叉搜索树内部实现基础功能模拟,希望能帮到屏幕前的你。 🌈上期博客在这里:http://t.csdnimg.cn/rfYFW 🌈感兴趣的小伙伴看一看小编主页&#xff1a…

从需求到交付:动态敏捷如何确保每一行代码都物超所值

动态敏捷方法论在软件开发中的应用 在当今快速变化的商业环境中,软件开发团队面临着不断变化的需求和市场挑战。传统的瀑布式开发模型已无法满足现代软件开发的灵活性和响应速度需求。动态敏捷(Dynamic Agility)作为一种新兴的开发方法论&…

introsort的快排跑排序OJ代码

introsort的快排跑排序OJ代码 introsort是introspective sort采⽤了缩写,他的名字其实表达了他的实现思路,他的思路就是进⾏⾃ 我侦测和反省,快排递归深度太深(sgi stl中使⽤的是深度为2倍排序元素数量的对数值)那就说…

《黑神话:悟空》在未来市场的应用与代码案例分析

作者主页: 知孤云出岫 目录 作者主页:**《黑神话:悟空》在未来市场的应用与代码案例分析****一、引言****二、市场应用场景分析****1. 数据驱动的市场决策****2. 游戏内经济系统的智能优化****3. 个性化推荐系统与用户体验提升** **三、市场推广与用户扩展策略***…

十一:C语言-操作符详解

1.了解二进制 其实二进制;八进制;十进制和十六进制都是数值的不同表示形式而已 二进制:基数为2,由0和1两个数字组成,逢2进1。八进制:基数为8,由0~7八个数字组成,逢8进1。十进制&am…

猫头虎 分享:Python库 SymPy 的简介、安装、用法详解入门教程 ‍

猫头虎 分享:Python库 SymPy 的简介、安装、用法详解入门教程 🐱‍👤 今天猫头虎带您 深入了解 Python库 SymPy,这是一个强大且广泛应用于符号数学计算的库。最近有粉丝问猫哥:如何利用 SymPy 进行数学公式的符号化处…

【Maps JavaScript API】基础地图的创建与实现详解

文章目录 一、概述1. Google Maps JavaScript API 简介2. Simple Map 示例概述 二、创建一个基础地图1. 引入 Google Maps JavaScript API2. 初始化地图(1) 定义地图的 HTML 容器(2) 编写 JavaScript 代码初始化地图 3. 将地图集成到网页中 三、代码分析与关键点1. 地图中心点的…

32 增加系统调用(1)

系统调用在 数据手册中的描述 这是在 GDT 中的描述符 这个系统调用 segment selector 指向的时 内核的代码段。因为系统调用需要的权限比较高。 offset 指的时 在内核代码中的具体的函数的地址。

SQL Server 查询语句中,对索引列做CONVERT的影响

通常,在做SQL Server查询语句优化的时候,如果发现语句对索引列做了函数计算,都会建议改写,将计算的逻辑转移到筛选条件列上。但这种对索引列的计算,有时却会带来一些额外的好处。请看以下的例子: --测试数…

【Linux开发板pip安装库时报错解决】Error 28:No space left on device报错需要更换库的安装路径

之前在Linux开发板上尝试运行pytorch框架,但是需要安装torch和torchvision的库,很奇怪的是我按照之前pip3 install torch -i http://pypi.douban.com/simple --trusted-host pypi.douban.com的安装方式却出现了以下的报错: 系统报错提示说No …

R 语言学习教程,从入门到精通,R 绘图饼图(23)

1、R 绘图 条形图 条形图,也称为柱状图条形图,是一种以长方形的长度为变量的统计图表。 条形图可以是水平或垂直的,每个长方形可以有不同的颜色。 R 语言使用 barplot() 函数来创建条形图,格式如下: barplot(H,xlab,…

FastAPI+React18开发通用后台管理系统用户功能实战

最近开发了一个React18的后台管理系统,登录界面如下: 如果登录成功了则提示并跳转到首页: 点击注销按钮则提示退出系统成功: 没有登录就访问首页则提示请先登录。 这些功能是怎么实现的呢? 先看看登录功能使用…

JNA实践之Java模拟C结构体、结构体指针、结构体数组

目录 1 JNA模拟C结构体1.1 结构体本身作参数1.2 结构体指针作参数1.3 结构体内部嵌套结构体(结构体本身作参数)1.4 结构体指针作参数 2 结构体中嵌套结构体数组2.1 用作输入2.2 用作输出 3 结构体数组作参数典型错误1--内存不连续典型错误2--误用ByValue 4 Java映射C中char[]类…

scrapy--json结构数据-存储

免责声明:本文仅做演示与分享... 目录 基于命令存储的解析方法: settings.py blibli.py 基于管道存储的解析方法: 1-在爬虫文件中进行数据解析 2-在items.py定义相关属性 3-在 爬虫文件中 把 解析的数据存储封装到item类型对象中 4-把item类型对象提交给管道 5-在管道文件中…

软件设计之MySQL(6)

软件设计之MySQL(6) 此篇应在JavaSE之后进行学习: 路线图推荐: 【Java学习路线-极速版】【Java架构师技术图谱】 Navicat可以在软件管家下载 使用navicat连接mysql数据库创建数据库、表、转储sql文件,导入sql数据 MySQL数据库入门到大牛,my…

【吊打面试官系列-Memcached面试题】memcached 能接受的 key 的最大长度是多少?

大家好,我是锋哥。今天分享关于 【memcached 能接受的 key 的最大长度是多少?】面试题,希望对大家有帮助; memcached 能接受的 key 的最大长度是多少? key 的最大长度是 250 个字符。需要注意的是,250 是 m…

KEIL中分散加载文件基础知识

一、分散加载文件基本概念 1、分散加载文件:(即scatter file 后缀为.scf)是一个文本文件,通过编写一个分散加载文件来指定ARM连接器在生成映像文件时如何分配RO,RW,ZI等数据的存放地址。如果不用分散加载文件指定,那么…