Determinación de la superficie potencial de ataque de datos y reducción del radio de explosión a la luz de las noticias de Snowflake.

A principios de esta semana, el sector tuvo conocimiento del reciente aumento de ataques contra clientes de la plataforma DBaaS Snowflake.
En un publicación de la comunidad En un comunicado emitido por Snowflake el lunes, la compañía afirmó que “creen que esto es el resultado de ataques basados en la identidad que se están produciendo en toda la industria con la intención de obtener datos de los clientes. Las investigaciones indican que este tipo de ataques se realizan con las credenciales de usuario de nuestros clientes que quedaron expuestas a través de actividades de ciberamenazas no relacionadas”.
Los ciberdelincuentes parecen estar apuntando a los usuarios de Snowflake con una postura de seguridad específica. Aquellos que lo hacen NO tener autenticación multifactor Se activó. Esto también fue confirmado por el director de tecnología de Mandiant, Charles Carmakal.
"Los ciberdelincuentes están comprometiendo activamente las cuentas de clientes de Snowflake de las organizaciones mediante el uso de credenciales robadas obtenidas a través de malware de robo de información e iniciando sesión en bases de datos configuradas con autenticación de un solo factor", declaró Charles Carmakal, CTO de Mandiant. dicho en una publicación en LinkedIn.
Snowflake está investigando actividades de una lista de direcciones IP en este momento; esa lista se puede encontrar aquíA continuación se presentan las recomendaciones de Snowflake tras la noticia de que sus clientes están siendo atacados:
- Implementar la autenticación multifactor en todas las cuentas.
- Configure las reglas de política de red para permitir únicamente a los usuarios autorizados o permitir únicamente el tráfico desde ubicaciones de confianza (VPN, NAT de carga de trabajo en la nube, etc.); y
- Las organizaciones afectadas deben restablecer y rotar sus credenciales de Snowflake.
Reducir la superficie de ataque de datos es la verdadera misión.
Las empresas que utilizan Snowflake, o cualquier otro servicio SaaS, deben poder centrar sus esfuerzos de seguridad en las áreas de mayor riesgo potencial. En casos como este, el objetivo no debe ser solo determinar qué usuarios tienen la MFA activada, sino también comprender a qué datos confidenciales tienen acceso actualmente esos usuarios específicos. Nos referimos a esta correlación como la superficie de ataque de datosDescubrir la superficie de ataque de los datos es también algo en lo que estamos ayudando activamente a nuestros clientes hoy en día.
Cyera clasifica los datos en plataformas IaaS, SaaS, DBaaS y almacenes de datos locales. Snowflake es una de las plataformas compatibles. Gracias a nuestra clasificación de datos en Snowflake y al análisis de sus configuraciones de control de acceso, podemos proporcionar a nuestros clientes un informe detallado de los usuarios de Snowflake con acceso a datos confidenciales, junto con su estado de autenticación multifactor (MFA) y la fecha de su última actividad. Nuestros clientes pueden utilizar esta información para habilitar la MFA para los usuarios con acceso a datos restringidos y confidenciales, así como para desactivar a los usuarios inactivos.

Estos conocimientos son fundamentales para cualquier organización, ya que le permiten prevenir de forma proactiva la exposición innecesaria y reaccionar con rapidez en caso de un posible incidente de seguridad de datos.
Por lo tanto, nuestra recomendación para los clientes de Snowflake que ya tienen Cyera es que hagan lo siguiente:
- Utilice Cyera para identificar rápidamente a los usuarios de Snowflake con acceso a datos confidenciales que tienen la autenticación multifactor desactivada.
- Priorice a los usuarios con acceso a datos confidenciales frente a los usuarios que no tienen acceso para enfocar sus esfuerzos de seguridad.
- Identifique a los usuarios inactivos con acceso a datos confidenciales y reduzca sus permisos de acceso a datos o deshabilite a dichos usuarios para minimizar el alcance potencial de la explosión.
Los actores maliciosos continuarán atacando a usuarios, servicios y servidores (la industria presenció esto (con la filtración de Change Healthcare) que no implementan la autenticación multifactor (MFA). Pero más allá de activar la MFA, algo que toda organización debería hacer, también insto a los responsables de seguridad a contar con una solución que permita determinar con precisión la superficie de ataque de sus datos y trabajar para reducir el alcance potencial de los ataques. Al fin y al cabo, los datos son el objetivo principal de la mayoría de los ciberdelincuentes.
Si desea obtener más información sobre cómo podemos ayudarle a reducir la superficie de ataque de datos en su entorno, háznoslo saberSiempre estamos encantados de ayudar.

