Determining the Potential Data Attack Surface and Reducing the Blast Radius in Light of the Snowflake News

No início desta semana, a indústria tomou conhecimento do recente aumento de ataques contra clientes da plataforma DBaaS Snowflake.

Em uma publicação na comunidade emitida pela Snowflake na segunda-feira, a empresa declarou que "acreditamos que isso é resultado de ataques contínuos baseados em identidade em todo o setor, com a intenção de obter dados de clientes. Pesquisas indicam que esses tipos de ataques são realizados com as credenciais de usuário de nossos clientes que foram expostas por meio de atividades de ameaças cibernéticas não relacionadas."

Agentes de ameaças parecem estar mirando usuários do Snowflake com uma postura de segurança específica. Aqueles que NÃO têm a autenticação multifator ativada. Isso foi confirmado também pelo CTO da Mandiant, Charles Carmakal.

"Agentes de ameaça estão comprometendo ativamente os tenants de clientes Snowflake das organizações usando credenciais roubadas obtidas por malware de roubo de informações e fazendo login em bancos de dados configurados com autenticação de fator único", disse o CTO da Mandiant, Charles Carmakal, em uma publicação no LinkedIn.

A Snowflake está investigando atividades de uma lista de endereços IP neste momento - essa lista pode ser encontrada aqui. Abaixo estão as recomendações da Snowflake após a notícia de que seus clientes estão sob ataque:

1. Impor autenticação multifator em todas as contas
2. Configure Regras de Política de Rede para permitir apenas usuários autorizados ou permitir apenas tráfego de locais confiáveis (VPN, NAT de carga de trabalho na nuvem, etc.); e
3. As organizações impactadas devem redefinir e alternar as credenciais do Snowflake.

Reduzir a superfície de ataque de dados é a verdadeira missão

Empresas que usam o Snowflake, ou qualquer outro serviço SaaS, devem ser capazes de concentrar seus esforços de segurança nas áreas de maior risco potencial. Em casos como este, o objetivo deve ser não apenas determinar quais usuários têm a MFA ativada, mas também entender quais dados confidenciais esses usuários específicos têm acesso atualmente. Nos referimos a essa correlação como superfície de ataque de dados. Descobrir a superfície de ataque de dados é também o que estamos ativamente ajudando nossos clientes a fazer hoje.

A Cyera classifica dados em datastores IaaS, SaaS, DBaaS e on-premises. O Snowflake é uma das plataformas que oferecemos suporte. Com base em nossa classificação de dados no Snowflake e em nossa análise das configurações de Controle de Acesso do Snowflake, podemos fornecer aos nossos clientes um relatório acionável de usuários do Snowflake com acesso a dados sensíveis, juntamente com seu status de MFA e data da última atividade. Nossos clientes podem então usar essas informações para habilitar o MFA para seus usuários com acesso a dados Restritos e Confidenciais, bem como desabilitar usuários inativos que estão sem atividade há muito tempo.

Esses insights são essenciais para todas as organizações, para que possam prevenir proativamente a exposição desnecessária e reagir rapidamente no caso de um possível incidente de segurança de dados.

Portanto, nossa recomendação é que os clientes do Snowflake que já possuem o Cyera façam o seguinte:

• Use o Cyera para identificar rapidamente usuários do Snowflake com acesso a dados confidenciais que têm a autenticação multifator desativada
• Priorize usuários com acesso a dados confidenciais em relação aos usuários que não têm acesso para concentrar seus esforços de segurança
• Identifique usuários inativos com acesso a dados sensíveis - e reduza suas permissões de acesso a dados ou desative esses usuários para minimizar o raio de impacto potencial

Os agentes de ameaças continuarão a ter como alvo usuários, serviços e servidores (o setor testemunhou isso com a violação da Change Healthcare) que não aplicam MFA. Mas além de ativar a MFA, o que toda organização deveria fazer, também exorto os líderes de segurança a terem uma solução implementada que possa determinar com precisão sua superfície de ataque de dados e trabalhar para reduzir o raio de explosão potencial. Afinal, dados são o que a maioria dos agentes de ameaças busca de qualquer forma.

Se você gostaria de saber mais sobre como podemos ajudar a reduzir a superfície de ataque de dados em seu ambiente, entre em contato. Estamos sempre felizes em ajudar.