TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ระบบคลาวด์กลายเป็นที่นิยมในไม่กี่ปีที่ผ่านมา เนื่องจากความสามารถในการแชร์ไฟล์และใช้งานแอพพลิเคชันได้อย่างไร้ขอบเขต ไม่ว่าผู้ใช้งานจะอยู่ที่ไหนก็ตาม แต่เทคโนโลยีใหม่นี้ ก็ตามมาด้วยภัยคุกคามรูปแบบใหม่เช่นกัน นั่นก็คือ การโจมตีแบบ Man-in-the-Cloud (MITC) ซึ่งแสดงให้เห็นถึงความยากในการป้องกันข้อมูลที่จัดเก็บอยู่บนคลาวด์
OneDrive, Google Drive, Box และ Dropbox เสี่ยงต่อการถูกโจมตี
ในงาน Black Hat 2015 ที่จัดขึ้นเมื่อเดือนสิงหาคมที่ผ่านมา ทีมวิจัยของ Imperva ผู้ให้บริการระบบรักษาความปลอดภัยของเว็บไซต์, ฐานข้อมูล และระบบไฟล์ ได้ออกมาเปิดเผยเกี่ยวกับ MITC ที่เป็นภัยคุกคามต่อบริการ File Synchronization หลายรายการ เช่น OneDrive, Google Drive, Box และ Dropbox ซึ่งยากต่อการถูกตรวจพบโดยระบบรักษาความปลอดภัยทั่วไป
Man-in-the-Cloud คืออะไร
MITC เป็นรูปแบบหนึ่งของ Identity Fraud หรือการหลอกขโมยข้อมูลผู้ใช้ โดยที่แฮ็คเกอร์ไม่จำเป็นต้องรู้ข้อมูลชื่อผู้ใช้หรือรหัสผ่านแต่อย่างใด การโจมตีแบบ MITC ต่างจากรุ่นพี่อย่าง Man-in-the-Middle ที่แอบไฮแจ็คข้อมูลตรงกลางระหว่างเซิฟเวอร์และผู้ใช้งาน โดย MITC จะโฟกัสที่ “Token” หรือไฟล์ขนาดเล็กบนอุปกรณ์ของผู้ใช้ที่เก็บข้อมูลการพิสูจน์ตัวตน
เมื่อผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่านเพื่อพิสูจน์ตัวตน ข้อมูลเหล่านั้นจะถูกเข้ารหัสกลายเป็น Token และส่งไปตรวจสอบที่เซิฟเวอร์ Token ดังกล่าวจะอยู่ในรูปสายข้อความ เช่น J1A0UubDsasrDFXXOsdf4s (หรืออาจยาวกว่านี้เพื่อความปลอดภัย) ซึ่งแฮ็คเกอร์จะแอบดักจับ Token เหล่านี้ผ่านการโจมตีรูปแบบต่างๆ เช่น Phishing ซึ่งเมื่อได้ Token มาเป็นที่เรียบร้อยแล้ว แฮ็คเกอร์สามารถนำ Token มาใส่ไว้ในอุปกรณ์ของตนเพื่อใช้พิสูจน์ตัวตนแทนผู้ใช้งานปกติ และเข้าถึงระบบไฟล์ภายในของบริการ OneDrive, Google Drive, Box และ Dropbox ได้อย่างง่ายดาย
เป้าหมายคือข้อมูลการเงินและความลับบริษัท
โดยทั่วไปแล้ว แฮ็คเกอร์โจมตีแบบ MITC เพื่อขโมยข้อมูลการเงินของบริษัท หรือความลับต่างๆที่อาจใช้แบล็คเมลล์บริษัทได้ นอกจากนี้ เนื่องจากระบบจัดเก็บข้อมูลบนคลาวด์อนุญาตให้เข้าถึงได้ผ่านหลายอุปกรณ์ หรือหลายผู้ใช้งาน ทำให้ไฟล์ที่จัดเก็บบนนั้นเป็นแหล่งแพร่กระจายมัลแวร์อย่างดี ส่งผลให้แฮ็คเกอร์สามารถส่งไวรัสเข้ามาโจมตีบริษัทได้โดยที่ระบบรักษาความปลอดภัยไม่อาจตรวจจับได้ เพื่อแก้ไขปัญหา Token ที่ถูกขโมยไป ผู้ใช้งานก็จำเป็นต้องลบ Token เดิมทิ้ง แล้วสร้าง Token ใหม่เพื่อไม่ให้แฮ็คเกอร์เข้าถึงระบบไฟล์ได้อีกต่อไป
ป้องกัน MITC ได้อย่างไร
วิธีที่ดีที่สุดในการป้องกัน MITC คือ ผู้ดูแลระบบต้องเพิ่มความระมัดระวังและติดตามการใช้งานระบบไฟล์อย่างรอบคอบ ซึ่งซอฟต์แวร์สำหรับมอนิเตอร์สามารถช่วยลดภาระงานของผู้ดูแลระบบได้เป็นอย่างดี ผู้ดูแลระบบจำเป็นต้องตรวจสอบ 2 สิ่งให้แน่ชัด คือ ระบุชื่อบัญชีระบบคลาวด์ที่ Token ถูกขโมยไป และระบุการใช้งานข้อมูลภายในที่ผิดปกติ แฮ็คเกอร์ส่วนใหญ่มีเป้าหมายที่ข้อมูลของบริษัทที่จัดเก็บอยู่ในระบบไฟล์ มากกว่าข้อมูลผู้ใช้ที่จัดเก็บอยู่บนอุปกรณ์ทั่วไป
Imperva ผู้ให้บริการระบบป้องกันข้อมูลทั้งบนแคมปัสและบนคลาวด์
Imperva มีโซลูชันสำหรับปกป้องข้อมูลบนระบบคลาวด์ และข้อมูลในระบบไฟล์ รวมทั้งฐานข้อมูลบนแคมปัสอย่างครบวงจร
- โซลูชัน Skyfence ของ Imperva นำเสนอบริการ Cloud Access Security Broker (CASB) ซึ่งช่วยสอดส่องและติดตามบริการบนระบบคลาวด์ รวมทั้งป้องกันการขโมยชื่อบัญชีผู้ใช้โดยอาศัยการตรวจจับพฤติกรรมที่ผิดปกติของการใช้งานแอพพลิเคชัน
- Database Monitoring และ File Activity Monitoring เป็นอีก 2 บริการที่สำคัญของ Imperva ที่ช่วยตรวจจับและติดตามการใช้ระบบข้อมูลของบริษัท ซึ่งสามารถตรวจจับการใช้งานที่ผิดปกติ และการเข้าถึงข้อมูลอย่างไม่มีสิทธิ์ได้
ที่มา: https://www.skyfence.com/blog-new-cloud-threat-for-2015/
