云计算业务面临的新威胁

云计算合作是商业的基石，这不是什么秘密。事实上，斯坦福大学(StanfordUniversity)的一项研究表明，仅仅让员工以协作的方式行事--而不改变他们的环境或工作流程--就能让他们更投入、更持久、更成功、更少疲劳。

为了对这一具有生物学根深蒂固的团队合作能力进行数字优化，世界各地的企业采用了软件作为服务(SaaS)应用程序，以促进多个用户之间的信息共享。通过集中式、云托管数据中心而非本地硬件运行，此类应用程序向所有规模的公司提供财务和技术优势，从存储节约到可靠的连接到支持速度。然而，它的协作本质是在现代企业的核心处定位SaaS软件。

与此同时，云服务的交互性使其成为高级网络罪犯的一个有吸引力的目标，后者通常可以利用单个用户的SaaS凭据来破坏数十个其他帐户。虽然领先的SaaS供应商遵守了高安全标准，但他们使用的网络防御仍然有一个共同的弱点：客户端的人为错误。通过像下面的案例研究那样发起复杂的攻击，如今的威胁行为者正越来越多地从前门进入云服务，这就需要一种根本不同的安全方法来检测认证用户的行为--任何时候都是如此轻微的--的行为。

Darktrace最新的“云威胁报告”考察了过去一年里它的客户经历过的基于云的网络攻击，以及它们是如何被阻止的，揭示了现代工作场所需要注意的新出现的威胁。

也许最难对付的基于云计算的攻击是那些依赖社会工程的攻击，因为它们涉及到欺骗员工自愿交出他们的证书和其他有利可图的信息。在这种情况下，人工智能(AI)异常检测是最优的安全策略，因为在为时已晚之前阻止社会工程威胁意味着保护员工免受自己的错误。

虽然许多钓鱼攻击都是作为不分青红皂白的“驱赶”行动发起的，但最近的许多攻击都包括带有协调和复杂网络犯罪标记的有针对性的电子邮件攻击。在一个案例中，一个威胁行为者拿到了美国市政当局的地址簿，按字母顺序向接收者发送了一次攻击。虽然每封电子邮件都是精心制作的，并且都是针对收件人定制的，但所有邮件都隐藏在一个隐藏在按钮后面的恶意负载，该按钮伪装成指向Netflix、Amazon和其他受信任服务的链接。

AI能够分析与所有Office 365电子邮件流量有关的这些隐藏链接，以及网络中预定收件人的正常“生活模式”。当第一封电子邮件通过时，AI立即意识到，无论是收件人还是同龄人，或者城市的其他工作人员之前都没有访问过这个域名。AI随即提出了一个高可信度警报，并建议在进入网络时自动锁定每个链接。

与外部威胁行为者不同的是，恶意内部人士往往处于独特的地位，能够避开传统的控制，因为他们拥有特权访问和对网络的密切了解。无论这些控制依赖二进制检测逻辑还是仅仅监视外围，心怀不满的员工通常可以轻松地绕过云中的静态防御，并在不引发怀疑的情况下提取或操作关键数据。

英国一家零售商决定重组IT部门，并解雇了多名员工。其中一名受影响的员工--一名IT经理--在离开前从客户数据库下载了联系方式和信用卡号码，并通过公司的一项常规数据传输服务秘密地将其转移到家庭服务器。IT经理知道，这个特定的服务不仅受到公司政策的认可，而且也是基于云的，他认为安全团队在这方面的可见性非常有限。

虽然这种微妙的活动很容易避开云提供者的本地控件，但AI在几秒钟内就检测到了威胁行为。通过不断学习每个用户和设备的“正常”，系统能够智能地关联来自IT管理器设备的高度可疑的连接和下载，尽管云服务经常被其他员工用于合法目的。

智能系统随后通知了安全小组，并提供了关于该妥协性质的详细和准确的信息，促使他们撤销他的凭据，并迅速检索和保护数据。

先进的网络罪犯可以以多种方式窃取公司帐户凭据，从社会工程攻击到“智能”恶意软件，这些恶意软件通过流量和短暂的云计算资产来搜索密码。而且，随着被盗的数据随时可用来购买和销售在黑暗的网络上，凭据盗窃的频率和严重性逐年增加。

在一个国际组织中，通过绕过Azure Active Directory的本地控件，Office 365帐户遭到了破坏。虽然该组织在全球每个角落都设有办事处，但AI从一个IP地址中识别了一个登录名，这对该用户和她的同龄人来说是历史上不寻常的，并立即通知了安全小组。然后，Darktrace警告说，一个新的电子邮件处理规则，删除收到的电子邮件，已经建立在帐户上。这表明了一个明显的妥协迹象，安全小组能够在攻击者造成破坏之前锁定帐户。

当安全小组进一步调查这起事件时，他们得知用户在AI检测到威胁的几个小时前收到了一封网络钓鱼邮件。虽然该公司还为Office 365部署了微软的高级威胁保护(ATP)，但静态防御(如ATP)只能通过将电子邮件中的链接与已知的恶意地址关联起来，才能识别钓鱼攻击，而钓鱼链接也没有出现在名单上。这表明了传统的、更基于签名的方法在这一领域的明显局限性，该组织很快就部署了自动响应技术，在Office 365中提供额外的保护，因为它能够在不依赖黑名单的情况下发现类似威胁性的网络钓鱼邮件。

从社会工程攻击到内部威胁，再到被盗的证书，SaaS固有的风险在很大程度上取决于用户。在部署云资产的组织中，人为错误和缺乏专业知识是云安全难题中最关键的漏洞。更重要的是，组织向云移动的速度超过了它们保护云的能力。

更糟糕的是，攻击者正在迅速创新，我们可以预期对云计算的攻击会变得更快、更猛烈。以Xbash为例，最近在野外发现了复杂的恶意软件家族，它结合了数据破坏性的勒索软件和恶意软件，对Windows和Linux系统造成了极大的破坏。如上面的例子所示，威胁已经超过了人类安全小组。当谈到保护云的安全时，我们将不得不放弃对人工智能系统的控制，而不是收回它。