Determinação da superfície potencial de ataque aos dados e redução do raio de impacto à luz das notícias sobre o Snowflake.

Jun 5, 2024
Share

No início desta semana, o setor tomou conhecimento do recente aumento de ataques contra clientes da plataforma DBaaS Snowflake.

Em um postagem da comunidade Em comunicado divulgado na segunda-feira, a Snowflake afirmou que "acredita que isso seja resultado de ataques contínuos em todo o setor, baseados em identidade, com a intenção de obter dados de clientes. Pesquisas indicam que esses tipos de ataques são realizados com as credenciais de usuário de nossos clientes que foram expostas por meio de atividades de ameaças cibernéticas não relacionadas."

Os agentes de ameaças parecem estar visando usuários do Snowflake com uma postura de segurança específica. Aqueles que o fazem NÃO ter autenticação multifatorial ativado. Isso também foi confirmado pelo diretor de tecnologia da Mandiant, Charles Carmakal.

"Atores maliciosos estão comprometendo ativamente os tenants de clientes Snowflake de organizações usando credenciais roubadas obtidas por malware de roubo de informações e acessando bancos de dados configurados com autenticação de fator único", afirmou Charles Carmakal, CTO da Mandiant. disse em uma publicação no LinkedIn.

Neste momento, a Snowflake está investigando atividades a partir de uma lista de endereços IP. Essa lista pode ser encontrada aqui. aquiAbaixo estão as recomendações da Snowflake após as notícias de que seus clientes estão sendo afetados:

  1. Impor a autenticação multifator em todas as contas.
  2. Configure regras de política de rede para permitir apenas usuários autorizados ou permitir apenas tráfego de locais confiáveis ​​(VPN, NAT de carga de trabalho na nuvem, etc.); e
  3. As organizações afetadas devem redefinir e alternar as credenciais do Snowflake.

Reduzir a superfície de ataque aos dados é a verdadeira missão.

Empresas que utilizam o Snowflake, ou qualquer outro serviço SaaS, precisam ser capazes de concentrar seus esforços de segurança nas áreas de maior risco potencial. Nesses casos, o objetivo deve ser não apenas determinar quais usuários têm a autenticação multifator (MFA) ativada, mas também entender a quais dados sensíveis esses usuários específicos têm acesso. Chamamos essa correlação de [nome da correlação]. superfície de ataque de dadosDescobrir a superfície de ataque aos dados é também algo que estamos ajudando ativamente nossos clientes a fazer hoje.

A Cyera classifica dados em IaaS, SaaS, DBaaS e armazenamentos de dados locais. O Snowflake é uma das plataformas que suportamos. Com base na nossa classificação de dados no Snowflake e na nossa análise das configurações de Controle de Acesso do Snowflake, podemos fornecer aos nossos clientes um relatório prático dos usuários do Snowflake com acesso a dados sensíveis, juntamente com o status da MFA e a data da última atividade. Os nossos clientes podem então usar essas informações para habilitar a MFA para os seus usuários com acesso a dados Restritos e Confidenciais, bem como desabilitar usuários inativos há muito tempo.

Relatório de Riscos de Acesso a Dados para Snowflake.

Essas informações são cruciais para todas as organizações, permitindo que elas previnam proativamente exposições desnecessárias e reajam rapidamente em caso de um potencial incidente de segurança de dados.

Portanto, nossa recomendação para os clientes da Snowflake que já possuem o Cyera é a seguinte:

  • Use o Cyera para identificar rapidamente usuários do Snowflake com acesso a dados confidenciais que têm a autenticação multifator desativada.
  • Para concentrar seus esforços de segurança, priorize os usuários com acesso a dados confidenciais em relação aos usuários sem acesso.
  • Identifique usuários inativos com acesso a dados sensíveis e reduza suas permissões de acesso ou desative esses usuários para minimizar o potencial impacto negativo.

Os agentes de ameaças continuarão a visar usuários, serviços e servidores (o setor). testemunhei isso (com a violação de dados da Change Healthcare) que não impõem MFA. Mas, além de ativar o MFA, o que toda organização deveria fazer, também recomendo que os líderes de segurança tenham uma solução implementada que possa determinar com precisão a superfície de ataque aos seus dados e trabalhar para reduzir o potencial de impacto. Afinal, os dados são o que a maioria dos agentes de ameaças busca.

Se você quiser saber mais sobre como podemos ajudar a reduzir a superfície de ataque aos dados em seu ambiente, nos aviseTeremos todo o prazer em ajudar.

Share