Déterminer la surface d'attaque potentielle des données et réduire le rayon d'action à la lumière de l'affaire Snowflake News

Jun 5, 2024
Share

Plus tôt cette semaine, le secteur a appris la récente augmentation des attaques contre les clients de la plateforme DBaaS Snowflake.

Dans un publication communautaire Dans un communiqué publié lundi, Snowflake a déclaré : « Nous pensons que ces attaques sont le résultat d’attaques d’identité généralisées visant à obtenir des données clients. Nos recherches indiquent que ces attaques sont menées à l’aide des identifiants de nos clients, divulgués lors d’activités de cybermenaces sans lien avec cette affaire. »

Les acteurs malveillants semblent cibler les utilisateurs de Snowflake présentant un niveau de sécurité particulier. Ceux qui le font PAS avoir authentification multifactorielle Activé. Cela a également été confirmé par Charles Carmakal, directeur technique de Mandiant.

« Des acteurs malveillants compromettent activement les environnements Snowflake des clients des entreprises en utilisant des identifiants volés obtenus grâce à des logiciels malveillants de vol d'informations et en se connectant à des bases de données configurées avec une authentification à facteur unique », explique Charles Carmakal, directeur technique de Mandiant. dit dans une publication sur LinkedIn.

Snowflake enquête actuellement sur les activités provenant d'une liste d'adresses IP ; cette liste est disponible ici : iciVoici les recommandations de Snowflake suite aux informations selon lesquelles leurs clients sont victimes de harcèlement :

  1. Imposer l'authentification multifacteur sur tous les comptes
  2. Configurez des règles de stratégie réseau pour n'autoriser que les utilisateurs autorisés ou uniquement le trafic provenant d'emplacements de confiance (VPN, NAT de charge de travail cloud, etc.) ; et
  3. Les organisations concernées doivent réinitialiser et renouveler leurs identifiants Snowflake.

Réduire la surface d'attaque des données est la véritable mission

Les entreprises utilisant Snowflake, ou tout autre service SaaS, doivent pouvoir concentrer leurs efforts de sécurité sur les zones de risque les plus importantes. Dans ce cas, l'objectif ne doit pas se limiter à identifier les utilisateurs ayant activé l'authentification multifacteur (MFA), mais également à comprendre à quelles données sensibles ces utilisateurs ont accès. Nous appelons cette corrélation la « corrélation entre les utilisateurs ». surface d'attaque des donnéesDécouvrir la surface d'attaque des données est également ce que nous aidons activement nos clients à faire aujourd'hui.

Cyera classe les données au sein des environnements IaaS, SaaS, DBaaS et des bases de données sur site. Snowflake est l'une des plateformes que nous prenons en charge. Grâce à notre classification des données Snowflake et à notre analyse des configurations de contrôle d'accès, nous fournissons à nos clients un rapport exploitable recensant les utilisateurs Snowflake ayant accès aux données sensibles, ainsi que leur statut d'authentification multifacteur (MFA) et leur date de dernière activité. Nos clients peuvent ainsi activer l'authentification multifacteur pour les utilisateurs ayant accès aux données restreintes et confidentielles, et désactiver les comptes des utilisateurs inactifs depuis longtemps.

Rapport sur les risques d'accès aux données pour Snowflake.

Ces informations sont essentielles pour toute organisation, afin qu'elle puisse prévenir de manière proactive toute exposition inutile et réagir rapidement en cas d'incident potentiel de sécurité des données.

Par conséquent, nous recommandons aux clients Snowflake qui utilisent déjà Cyera de procéder comme suit :

  • Utilisez Cyera pour identifier rapidement les utilisateurs Snowflake ayant accès à des données sensibles et dont l'authentification multifacteurs est désactivée.
  • Priorisez les utilisateurs ayant accès aux données sensibles par rapport à ceux qui n'y ont pas accès afin de concentrer vos efforts de sécurité.
  • Identifiez les utilisateurs inactifs ayant accès à des données sensibles et réduisez leurs autorisations d'accès ou désactivez-les afin de minimiser l'impact potentiel.

Les acteurs malveillants continueront de cibler les utilisateurs, les services et les serveurs (l'industrie). J'ai été témoin de cela Suite à la faille de sécurité chez Change Healthcare, certaines organisations n'appliquent pas l'authentification multifacteur (MFA). Au-delà de l'activation de la MFA, que toute organisation devrait mettre en place, j'encourage vivement les responsables de la sécurité à adopter une solution permettant de déterminer précisément leur surface d'attaque et à s'efforcer de réduire l'impact potentiel des attaques. Après tout, ce sont les données qui constituent l'objectif principal des cybercriminels.

Si vous souhaitez en savoir plus sur la manière dont nous pouvons vous aider à réduire la surface d'attaque des données dans votre environnement, Faites-nous savoirNous sommes toujours heureux de vous aider.

Share