Déterminer la surface d’attaque potentielle des données et réduire le rayon d’impact à la lumière des actualités concernant Snowflake

Plus tôt cette semaine, l'industrie a appris l'augmentation récente des attaques contre les clients de la plateforme DBaaS Snowflake.

Dans un post communautaire publié par Snowflake lundi, l'entreprise a déclaré qu'elle \"pense que cela est le résultat d'attaques continues à l'échelle de l'industrie, basées sur l'identité, avec l'intention d'obtenir des données clients. Les recherches indiquent que ces types d'attaques sont effectués avec les identifiants utilisateurs de nos clients qui ont été exposés lors d'activités de cybermenaces sans rapport.\"

Les acteurs malveillants semblent cibler les utilisateurs de Snowflake ayant une posture de sécurité spécifique. Ceux qui n'ont PAS activé l'authentification multi-facteurs. Cela a également été confirmé par le CTO de Mandiant, Charles Carmakal.

« Les acteurs malveillants compromettent activement les locataires clients Snowflake des organisations en utilisant des identifiants volés obtenus par des logiciels malveillants de type infostealer et en se connectant à des bases de données configurées avec une authentification à facteur unique », a déclaré Charles Carmakal, CTO de Mandiant, dans une publication sur LinkedIn.

Snowflake enquête actuellement sur des activités provenant d'une liste d'adresses IP - cette liste peut être consultée ici. Voici les recommandations de Snowflake suite à l'annonce que leurs clients sont sous attaque :

1. Imposer l’authentification multifacteur sur tous les comptes
2. Configurez des règles de politique réseau pour autoriser uniquement les utilisateurs autorisés ou uniquement le trafic provenant d'emplacements de confiance (VPN, NAT de charge de travail cloud, etc.) ; et
3. Les organisations concernées devraient réinitialiser et faire pivoter les identifiants Snowflake.

Réduire la surface d'attaque des données est la véritable mission

Les entreprises utilisant Snowflake, ou tout autre service SaaS d'ailleurs, doivent pouvoir concentrer leurs efforts de sécurité sur les zones présentant le plus grand potentiel de risque. Dans de tels cas, l'objectif ne doit pas seulement être de déterminer quels utilisateurs ont activé la MFA, mais aussi de comprendre à quelles données sensibles ces utilisateurs spécifiques ont actuellement accès. Nous appelons cette corrélation la surface d'attaque des données. Découvrir la surface d'attaque des données est également ce que nous aidons activement nos clients à faire aujourd'hui.

Cyera classe les données au sein des environnements IaaS, SaaS, DBaaS et des entrepôts de données sur site. Snowflake fait partie des plateformes que nous prenons en charge. Sur la base de notre classification des données dans Snowflake et de notre analyse des configurations de contrôle d'accès de Snowflake, nous pouvons fournir à nos clients un rapport exploitable des utilisateurs Snowflake ayant accès à des données sensibles, ainsi que leur statut MFA et leur dernière date d'activité. Nos clients peuvent ensuite utiliser ces informations pour activer la MFA pour les utilisateurs ayant accès à des données Restreintes et Confidentielles, ainsi que pour désactiver les utilisateurs inactifs depuis longtemps.

Ces informations sont essentielles pour chaque organisation, afin qu'elle puisse prévenir de manière proactive toute exposition inutile et réagir rapidement en cas d'incident potentiel de sécurité des données.

Par conséquent, nous recommandons aux clients Snowflake qui disposent déjà de Cyera de faire ce qui suit :

• Utilisez Cyera pour identifier rapidement les utilisateurs Snowflake ayant accès à des données sensibles et dont l’authentification multifacteur est désactivée.
• Donnez la priorité aux utilisateurs ayant accès à des données sensibles par rapport à ceux qui n'y ont pas accès afin de concentrer vos efforts de sécurité.
• Identifiez les utilisateurs inactifs ayant accès à des données sensibles, puis réduisez leurs autorisations d'accès aux données ou désactivez ces utilisateurs afin de minimiser le rayon d'impact potentiel.

Les acteurs malveillants continueront de cibler les utilisateurs, les services et les serveurs (l'industrie en a été témoin avec la violation de Change Healthcare) qui n'appliquent pas l'authentification multifactorielle. Mais au-delà de l'activation de l'authentification multifactorielle, que chaque organisation devrait mettre en place, j'encourage également les responsables de la sécurité à disposer d'une solution capable de déterminer avec précision leur surface d'attaque de données, et à travailler à la réduction du rayon d'impact potentiel. Après tout, ce sont les données que la plupart des acteurs malveillants recherchent de toute façon.

Si vous souhaitez en savoir plus sur la façon dont nous pouvons vous aider à réduire la surface d'attaque des données dans votre environnement, faites-le nous savoir. Nous sommes toujours heureux de vous aider.