Breaking News
AMR | Citrix Webinar: The Next New Normal

Man-in-the-Cloud: ภัยคุกคามรูปแบบใหม่บนระบบคลาวด์

imperva_logo

ระบบคลาวด์กลายเป็นที่นิยมในไม่กี่ปีที่ผ่านมา เนื่องจากความสามารถในการแชร์ไฟล์และใช้งานแอพพลิเคชันได้อย่างไร้ขอบเขต ไม่ว่าผู้ใช้งานจะอยู่ที่ไหนก็ตาม แต่เทคโนโลยีใหม่นี้ ก็ตามมาด้วยภัยคุกคามรูปแบบใหม่เช่นกัน นั่นก็คือ การโจมตีแบบ Man-in-the-Cloud (MITC) ซึ่งแสดงให้เห็นถึงความยากในการป้องกันข้อมูลที่จัดเก็บอยู่บนคลาวด์

Credit: ShutterStock.com
Credit: ShutterStock

OneDrive, Google Drive, Box และ Dropbox เสี่ยงต่อการถูกโจมตี

ในงาน Black Hat 2015 ที่จัดขึ้นเมื่อเดือนสิงหาคมที่ผ่านมา ทีมวิจัยของ Imperva ผู้ให้บริการระบบรักษาความปลอดภัยของเว็บไซต์, ฐานข้อมูล และระบบไฟล์ ได้ออกมาเปิดเผยเกี่ยวกับ MITC ที่เป็นภัยคุกคามต่อบริการ File Synchronization หลายรายการ เช่น OneDrive, Google Drive, Box และ Dropbox ซึ่งยากต่อการถูกตรวจพบโดยระบบรักษาความปลอดภัยทั่วไป

Man-in-the-Cloud คืออะไร

MITC เป็นรูปแบบหนึ่งของ Identity Fraud หรือการหลอกขโมยข้อมูลผู้ใช้ โดยที่แฮ็คเกอร์ไม่จำเป็นต้องรู้ข้อมูลชื่อผู้ใช้หรือรหัสผ่านแต่อย่างใด การโจมตีแบบ MITC ต่างจากรุ่นพี่อย่าง Man-in-the-Middle ที่แอบไฮแจ็คข้อมูลตรงกลางระหว่างเซิฟเวอร์และผู้ใช้งาน โดย MITC จะโฟกัสที่ “Token” หรือไฟล์ขนาดเล็กบนอุปกรณ์ของผู้ใช้ที่เก็บข้อมูลการพิสูจน์ตัวตน
เมื่อผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่านเพื่อพิสูจน์ตัวตน ข้อมูลเหล่านั้นจะถูกเข้ารหัสกลายเป็น Token และส่งไปตรวจสอบที่เซิฟเวอร์ Token ดังกล่าวจะอยู่ในรูปสายข้อความ เช่น J1A0UubDsasrDFXXOsdf4s (หรืออาจยาวกว่านี้เพื่อความปลอดภัย) ซึ่งแฮ็คเกอร์จะแอบดักจับ Token เหล่านี้ผ่านการโจมตีรูปแบบต่างๆ เช่น Phishing ซึ่งเมื่อได้ Token มาเป็นที่เรียบร้อยแล้ว แฮ็คเกอร์สามารถนำ Token มาใส่ไว้ในอุปกรณ์ของตนเพื่อใช้พิสูจน์ตัวตนแทนผู้ใช้งานปกติ และเข้าถึงระบบไฟล์ภายในของบริการ OneDrive, Google Drive, Box และ Dropbox ได้อย่างง่ายดาย

เป้าหมายคือข้อมูลการเงินและความลับบริษัท

โดยทั่วไปแล้ว แฮ็คเกอร์โจมตีแบบ MITC เพื่อขโมยข้อมูลการเงินของบริษัท หรือความลับต่างๆที่อาจใช้แบล็คเมลล์บริษัทได้ นอกจากนี้ เนื่องจากระบบจัดเก็บข้อมูลบนคลาวด์อนุญาตให้เข้าถึงได้ผ่านหลายอุปกรณ์ หรือหลายผู้ใช้งาน ทำให้ไฟล์ที่จัดเก็บบนนั้นเป็นแหล่งแพร่กระจายมัลแวร์อย่างดี ส่งผลให้แฮ็คเกอร์สามารถส่งไวรัสเข้ามาโจมตีบริษัทได้โดยที่ระบบรักษาความปลอดภัยไม่อาจตรวจจับได้ เพื่อแก้ไขปัญหา Token ที่ถูกขโมยไป ผู้ใช้งานก็จำเป็นต้องลบ Token เดิมทิ้ง แล้วสร้าง Token ใหม่เพื่อไม่ให้แฮ็คเกอร์เข้าถึงระบบไฟล์ได้อีกต่อไป

ttt_virus_Infection-fotogestoeber
Credit: ShutterStock

ป้องกัน MITC ได้อย่างไร

วิธีที่ดีที่สุดในการป้องกัน MITC คือ ผู้ดูแลระบบต้องเพิ่มความระมัดระวังและติดตามการใช้งานระบบไฟล์อย่างรอบคอบ ซึ่งซอฟต์แวร์สำหรับมอนิเตอร์สามารถช่วยลดภาระงานของผู้ดูแลระบบได้เป็นอย่างดี ผู้ดูแลระบบจำเป็นต้องตรวจสอบ 2 สิ่งให้แน่ชัด คือ ระบุชื่อบัญชีระบบคลาวด์ที่ Token ถูกขโมยไป และระบุการใช้งานข้อมูลภายในที่ผิดปกติ แฮ็คเกอร์ส่วนใหญ่มีเป้าหมายที่ข้อมูลของบริษัทที่จัดเก็บอยู่ในระบบไฟล์ มากกว่าข้อมูลผู้ใช้ที่จัดเก็บอยู่บนอุปกรณ์ทั่วไป

Imperva ผู้ให้บริการระบบป้องกันข้อมูลทั้งบนแคมปัสและบนคลาวด์

Imperva มีโซลูชันสำหรับปกป้องข้อมูลบนระบบคลาวด์ และข้อมูลในระบบไฟล์ รวมทั้งฐานข้อมูลบนแคมปัสอย่างครบวงจร

  • โซลูชัน Skyfence ของ Imperva นำเสนอบริการ Cloud Access Security Broker (CASB) ซึ่งช่วยสอดส่องและติดตามบริการบนระบบคลาวด์ รวมทั้งป้องกันการขโมยชื่อบัญชีผู้ใช้โดยอาศัยการตรวจจับพฤติกรรมที่ผิดปกติของการใช้งานแอพพลิเคชัน
  • Database Monitoring และ File Activity Monitoring เป็นอีก 2 บริการที่สำคัญของ Imperva ที่ช่วยตรวจจับและติดตามการใช้ระบบข้อมูลของบริษัท ซึ่งสามารถตรวจจับการใช้งานที่ผิดปกติ และการเข้าถึงข้อมูลอย่างไม่มีสิทธิ์ได้

ที่มา: https://www.skyfence.com/blog-new-cloud-threat-for-2015/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนา Juniper Virtual Summit: Networks for the New Era

Juniper Networks ขอเชิญเหล่า Cloud และ Service Providers เข้าร่วมงานสัมมนาออนไลน์ Juniper Virtual Summit ซึ่งจัดในธีม “Networks for the …

นักวิจัยเผยวิธี DoS Attack เซิร์ฟเวอร์ CDN ใหม่ ‘RangeAmp’

กลุ่มนักวิจัยจากสถาบันการศึกษาชาวจีนได้ตีพิมพ์งานวิจัยเกี่ยวกับเทคนิค DoS Attack ใหม่ที่ชื่อ ‘RangeAmp’ ซึ่งสามารถใช้โจมตีเซิร์ฟเวอร์ผู้ให้บริการ CDN ได้ โดยอาศัย Range Request Attribute ของ HTTP ทั้งนี้ยังส่งผลกระทบกับ …