Bestimmung der potenziellen Daten-Angriffsfläche und Reduzierung des Schadensausmaßes im Lichte der Snowflake-Nachrichten

Anfang dieser Woche erfuhr die Branche von dem jüngsten Anstieg der Angriffe auf Kunden der DBaaS-Plattform Snowflake.

In einem Community-Beitrag, den Snowflake am Montag veröffentlicht hat, erklärte das Unternehmen, dass sie „glauben, dies sei das Ergebnis andauernder, branchenweiter, identitätsbasierter Angriffe mit dem Ziel, Kundendaten zu erlangen. Untersuchungen deuten darauf hin, dass diese Art von Angriffen mit den Benutzeranmeldedaten unserer Kunden durchgeführt werden, die durch nicht zusammenhängende Cyber-Bedrohungsaktivitäten offengelegt wurden.“

Bedrohungsakteure scheinen gezielt Snowflake-Nutzer mit einer bestimmten Sicherheitslage anzugreifen: diejenigen, die KEINE Multi-Faktor-Authentifizierung aktiviert haben. Dies wurde ebenfalls vom Mandiant-CTO Charles Carmakal bestätigt.

"Bedrohungsakteure kompromittieren derzeit aktiv die Snowflake-Kundentenants von Organisationen, indem sie gestohlene Zugangsdaten verwenden, die durch Infostealer-Malware erlangt wurden, und sich in Datenbanken einloggen, die nur mit Einzelfaktor-Authentifizierung gesichert sind", erklärte Mandiant-CTO Charles Carmakal in einem Beitrag auf LinkedIn.

Snowflake untersucht derzeit Aktivitäten von einer Liste von IP-Adressen – diese Liste finden Sie hier. Nachfolgend finden Sie die Empfehlungen von Snowflake angesichts der Meldungen, dass ihre Kunden unter Beschuss stehen:

1. Erzwingen Sie die Multi-Faktor-Authentifizierung für alle Konten
2. Richten Sie Netzwerk-Richtlinienregeln ein, um nur autorisierten Benutzern oder nur Datenverkehr aus vertrauenswürdigen Standorten (VPN, Cloud-Workload-NAT usw.) zu erlauben; und
3. Betroffene Organisationen sollten ihre Snowflake-Zugangsdaten zurücksetzen und erneuern.

Die eigentliche Aufgabe besteht darin, die Angriffsfläche für Daten zu verringern.

Unternehmen, die Snowflake oder einen anderen SaaS-Dienst nutzen, müssen ihre Sicherheitsmaßnahmen auf die größten potenziellen Risikobereiche konzentrieren können. In solchen Fällen sollte das Ziel nicht nur darin bestehen, herauszufinden, welche Nutzer MFA aktiviert haben, sondern auch zu verstehen, auf welche sensiblen Daten diese bestimmten Nutzer aktuell Zugriff haben. Wir bezeichnen diese Korrelation als Daten-Angriffsfläche. Die Entdeckung der Daten-Angriffsfläche ist auch genau das, wobei wir unsere Kunden heute aktiv unterstützen.

Cyera klassifiziert Daten innerhalb von IaaS-, SaaS-, DBaaS- und lokalen Datenspeichern. Snowflake ist eine der Plattformen, die wir unterstützen. Basierend auf unserer Klassifizierung der Daten innerhalb von Snowflake und unserer Analyse der Snowflake-Zugriffskontrollkonfigurationen können wir unseren Kunden einen umsetzbaren Bericht über Snowflake-Benutzer mit Zugriff auf sensible Daten bereitstellen, einschließlich ihres MFA-Status und des letzten Aktivitätsdatums. Unsere Kunden können diese Informationen dann nutzen, um MFA für ihre Benutzer mit Zugriff auf eingeschränkte und vertrauliche Daten zu aktivieren sowie inaktive Benutzer, die lange nicht aktiv waren, zu deaktivieren.

Diese Erkenntnisse sind für jedes Unternehmen von entscheidender Bedeutung, damit es proaktiv unnötige Risiken vermeiden und im Falle eines potenziellen Vorfalls der Datensicherheit schnell reagieren kann.

Daher empfehlen wir Snowflake-Kunden, die bereits Cyera nutzen, Folgendes zu tun:

• Verwenden Sie Cyera, um schnell Snowflake-Benutzer mit Zugriff auf sensible Daten zu identifizieren, bei denen die Multi-Faktor-Authentifizierung deaktiviert ist.
• Priorisieren Sie Benutzer mit Zugriff auf sensible Daten gegenüber Benutzern ohne Zugriff, um Ihre Sicherheitsmaßnahmen gezielt einzusetzen.
• Identifizieren Sie inaktive Benutzer mit Zugriff auf sensible Daten – und reduzieren Sie deren Datenzugriffsberechtigungen oder deaktivieren Sie solche Benutzer, um das potenzielle Schadensausmaß zu minimieren.

Bedrohungsakteure werden weiterhin Nutzer, Dienste und Server ins Visier nehmen (die Branche hat dies beim Change Healthcare-Vorfall erlebt), bei denen keine MFA durchgesetzt wird. Aber über das bloße Aktivieren von MFA hinaus, was jede Organisation tun sollte, fordere ich Sicherheitsverantwortliche auch dazu auf, eine Lösung zu implementieren, die die Angriffsfläche ihrer Daten präzise bestimmen kann und darauf abzielt, den potenziellen Schaden zu minimieren. Schließlich sind es in den meisten Fällen die Daten, auf die es Bedrohungsakteure abgesehen haben.

Wenn Sie mehr darüber erfahren möchten, wie wir helfen können, die Angriffsfläche für Daten in Ihrer Umgebung zu reduzieren, lassen Sie es uns wissen. Wir helfen Ihnen gerne weiter.