Determining the Potential Data Attack Surface and Reducing the Blast Radius in Light of the Snowflake News

A principios de esta semana, la industria se enteró del reciente aumento de ataques contra clientes de la plataforma DBaaS Snowflake.

En una publicación de la comunidad emitida por Snowflake el lunes, la empresa declaró que “creemos que esto es el resultado de ataques en curso en toda la industria, basados en identidad, con la intención de obtener datos de clientes. Las investigaciones indican que este tipo de ataques se realizan con credenciales de usuario de nuestros clientes que fueron expuestas a través de actividad de ciberamenazas no relacionada.”

Los actores de amenazas parecen estar apuntando a usuarios de Snowflake con una postura de seguridad específica. Aquellos que NO tienen activada la autenticación multifactor. Esto también fue confirmado por Charles Carmakal, CTO de Mandiant.

"Actores de amenazas están comprometiendo activamente los tenants de clientes de Snowflake de las organizaciones usando credenciales robadas obtenidas por malware de robo de información e iniciando sesión en bases de datos que están configuradas con autenticación de un solo factor", dijo el CTO de Mandiant, Charles Carmakal, en una publicación en LinkedIn. said

Snowflake está investigando actividades provenientes de una lista de direcciones IP en este momento; esa lista se puede encontrar aquí. A continuación se presentan las recomendaciones de Snowflake tras conocerse que sus clientes están bajo ataque:

1. Aplicar la autenticación multifactor en todas las cuentas
2. Configura reglas de políticas de red para permitir solo a usuarios autorizados o solo el tráfico desde ubicaciones de confianza (VPN, NAT de cargas de trabajo en la nube, etc.); y
3. Las organizaciones afectadas deben restablecer y rotar las credenciales de Snowflake.

Reducir la superficie de ataque de datos es la verdadera misión

Las empresas que usan Snowflake, o cualquier otro servicio SaaS, deben poder enfocar sus esfuerzos de seguridad en las áreas con mayor potencial de riesgo. En casos como este, el objetivo no solo debe ser determinar qué usuarios tienen activado el MFA, sino también comprender a qué datos sensibles tienen acceso actualmente esos usuarios específicos. Nos referimos a esta correlrelación como la data attack surface. Descubrir la data attack surface también es algo en lo que hoy estamos ayudando activamente a nuestros clientes.

Cyera clasifica los datos en IaaS, SaaS, DBaaS y almacenes de datos locales. Snowflake es una de las plataformas que admitimos. Con base en nuestra clasificación de los datos dentro de Snowflake y nuestro análisis de las configuraciones de Control de Acceso de Snowflake, podemos proporcionar a nuestros clientes un informe procesable de los usuarios de Snowflake con acceso a datos sensibles, junto con su estado de MFA y la fecha de su última actividad. Nuestros clientes pueden usar esta información para habilitar MFA para los usuarios con acceso a datos Restringidos y Confidenciales, así como deshabilitar a los usuarios inactivos que han estado sin actividad durante mucho tiempo.

Estos conocimientos son fundamentales para toda organización, para que pueda prevenir proactivamente exposiciones innecesarias y reaccionar con rapidez en caso de un posible incidente de seguridad de datos.

Por lo tanto, nuestra recomendación para los clientes de Snowflake que ya cuentan con Cyera es la siguiente:

• Usa Cyera para identificar rápidamente a los usuarios de Snowflake con acceso a datos confidenciales que tienen desactivada la autenticación multifactor
• Prioriza a los usuarios con acceso a datos sensibles frente a los usuarios que no tienen acceso para enfocar tus esfuerzos de seguridad
• Identifica a los usuarios inactivos con acceso a datos sensibles y reduce sus permisos de acceso a datos o inhabilita a esos usuarios para minimizar el posible radio de impacto

Los actores de amenazas seguirán apuntando a usuarios, servicios y servidores (la industria fue testigo de esto con la filtración de Change Healthcare) que no aplican MFA. Pero más allá de activar MFA, algo que toda organización debería hacer, también insto a los líderes de seguridad a contar con una solución que pueda determinar con precisión su superficie de ataque de datos y trabajar para reducir el posible radio de impacto. Al fin y al cabo, los datos son lo que buscan la mayoría de los actores de amenazas.

Si deseas obtener más información sobre cómo podemos ayudar a reducir la superficie de ataque de datos en tu entorno, háznoslo saber. Siempre estamos encantados de ayudar.