Ermittlung der potenziellen Angriffsfläche für Datenangriffe und Reduzierung des Wirkungsradius angesichts der Snowflake-News

Anfang dieser Woche erfuhr die Branche von dem jüngsten Anstieg der Angriffe auf Kunden der DBaaS-Plattform Snowflake.
In einem Community-Beitrag Snowflake veröffentlichte am Montag eine Mitteilung, in der das Unternehmen erklärte: „Wir gehen davon aus, dass dies das Ergebnis anhaltender branchenweiter, identitätsbasierter Angriffe ist, die darauf abzielen, Kundendaten zu erlangen. Untersuchungen deuten darauf hin, dass diese Angriffe mit den Benutzerdaten unserer Kunden durchgeführt werden, die durch andere Cyberangriffe offengelegt wurden.“
Angreifer scheinen es auf Snowflake-Nutzer mit einer spezifischen Sicherheitsstrategie abgesehen zu haben. Diejenigen, die dies tun NICHT haben Multi-Faktor-Authentifizierung eingeschaltet. Dies wurde auch von Mandiant-CTO Charles Carmakal bestätigt.
„Bedrohungsakteure gefährden aktiv die Snowflake-Kundensysteme von Unternehmen, indem sie gestohlene Zugangsdaten verwenden, die sie durch Infostealing-Malware erlangt haben, und sich in Datenbanken einloggen, die nur mit Ein-Faktor-Authentifizierung konfiguriert sind“, so Mandiant-CTO Charles Carmakal. sagte in einem Beitrag auf LinkedIn.
Snowflake untersucht derzeit Aktivitäten von einer Liste von IP-Adressen - diese Liste finden Sie hier. HierNachfolgend die Empfehlungen von Snowflake nach Bekanntwerden der Angriffe auf ihre Kunden:
- Multi-Faktor-Authentifizierung für alle Konten erzwingen
- Richten Sie Netzwerkrichtlinienregeln ein, um nur autorisierte Benutzer oder nur Datenverkehr von vertrauenswürdigen Standorten (VPN, Cloud-Workload-NAT usw.) zuzulassen; und
- Betroffene Organisationen sollten ihre Snowflake-Zugangsdaten zurücksetzen und regelmäßig wechseln.
Die Reduzierung der Angriffsfläche für Daten ist die eigentliche Mission.
Unternehmen, die Snowflake oder einen anderen SaaS-Dienst nutzen, müssen ihre Sicherheitsmaßnahmen auf die größten potenziellen Risikobereiche konzentrieren. In solchen Fällen sollte das Ziel nicht nur darin bestehen, festzustellen, welche Benutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert haben, sondern auch zu verstehen, auf welche sensiblen Daten diese Benutzer aktuell Zugriff haben. Diese Korrelation bezeichnen wir als … Angriffsfläche für DatenDie Ermittlung der Angriffsfläche für Datenangriffe ist ebenfalls etwas, wobei wir unsere Kunden heute aktiv unterstützen.
Cyera klassifiziert Daten in IaaS-, SaaS-, DBaaS- und On-Premise-Datenspeichern. Snowflake ist eine der von uns unterstützten Plattformen. Basierend auf unserer Datenklassifizierung in Snowflake und unserer Analyse der Zugriffskontrollkonfigurationen von Snowflake können wir unseren Kunden einen aussagekräftigen Bericht über Snowflake-Benutzer mit Zugriff auf sensible Daten bereitstellen, inklusive ihres MFA-Status und des Datums ihrer letzten Aktivität. Unsere Kunden können diese Informationen nutzen, um MFA für Benutzer mit Zugriff auf eingeschränkte und vertrauliche Daten zu aktivieren und inaktive Benutzerkonten zu deaktivieren.

Diese Erkenntnisse sind für jede Organisation von entscheidender Bedeutung, damit sie unnötige Risiken proaktiv vermeiden und im Falle eines potenziellen Datensicherheitsvorfalls schnell reagieren kann.
Daher empfehlen wir Snowflake-Kunden, die bereits Cyera installiert haben, Folgendes:
- Nutzen Sie Cyera, um Snowflake-Benutzer mit Zugriff auf sensible Daten schnell zu identifizieren, bei denen die Multi-Faktor-Authentifizierung deaktiviert ist.
- Konzentrieren Sie Ihre Sicherheitsmaßnahmen auf Benutzer mit Zugriff auf sensible Daten im Vergleich zu Benutzern ohne Zugriff.
- Identifizieren Sie inaktive Benutzer mit Zugriff auf sensible Daten – und reduzieren Sie deren Datenzugriffsberechtigungen oder deaktivieren Sie diese Benutzer, um den potenziellen Schaden zu minimieren.
Bedrohungsakteure werden weiterhin Benutzer, Dienste und Server ins Visier nehmen (die Branche habe dies miterlebt Im Fall des Change Healthcare-Datenlecks wurde deutlich, dass viele Unternehmen keine Multi-Faktor-Authentifizierung (MFA) erzwingen. Neben der Aktivierung von MFA, die jedes Unternehmen unbedingt vornehmen sollte, rate ich Sicherheitsverantwortlichen dringend, eine Lösung zu implementieren, die die Angriffsfläche ihrer Daten präzise ermittelt und die potenziellen Auswirkungen minimiert. Denn letztendlich sind Daten das, worauf es die meisten Angreifer abgesehen haben.
Wenn Sie mehr darüber erfahren möchten, wie wir dazu beitragen können, die Angriffsfläche für Daten in Ihrer Umgebung zu verringern, Lassen Sie es uns wissenWir helfen Ihnen jederzeit gerne.

