Más de un mes después de una serie de robos de datos en entornos Snowflake, la magnitud del incidente se ha vuelto más clara: al menos 165 víctimas probables, más de 500 credenciales robadas y actividad sospechosa vinculada a malware conocido procedente de casi 300 direcciones IP.
En junio, el proveedor de servicios de datos en la nube se lavó las manos ante el incidente, señalando el informe de investigación de ciberseguridad publicado por sus proveedores de respuesta a incidentes Google Mandiant y CrowdStrike, que descubrió que 165 clientes de Snowflake Los datos potencialmente habían sido robados por malware. En una actualización del 2 de junio, Snowflake confirmó que no encontró evidencia de que una vulnerabilidad, mala configuración, violación o robo de las credenciales de los empleados provocara la filtración de datos.
«[E]»Cada incidente al que Mandiant respondió asociado con esta campaña se atribuyó a credenciales de clientes comprometidas», dijo Google Mandiant.
Snowflake instó a sus clientes a garantizar que la autenticación multifactor (MFA) funcione en todas las cuentas, crear reglas de políticas de red que limiten las direcciones IP a ubicaciones conocidas y confiables y restablecer las credenciales de los usuarios.
Estas medidas, sin embargo, no son suficientesdicen los expertos. Las empresas deben ser conscientes de cómo se utilizan sus recursos SaaS y no depender de que los usuarios prioricen la seguridad sobre la conveniencia.
«Si construyes un sistema que depende de la infalibilidad de los humanos, estás construyendo un sistema realmente malo», dice Glenn Chisholm, cofundador y director de producto de Obsidian Security, un proveedor de seguridad SaaS. “Los buenos ingenieros diseñan sistemas que esperan el fracaso humano. »
A continuación se muestran algunas defensas adicionales que los equipos de seguridad deberían considerar para detectar vulnerabilidades de seguridad en su Snowflake y otros servicios en la nube SaaS.
1. Recopile datos de la cuenta y analícelos periódicamente.
Los equipos de seguridad primero deben comprender su entorno SaaS y monitorear los cambios en ese entorno. En el caso de Snowflake, el cliente web Snowsight se puede utilizar para recopilar datos sobre cuentas de usuario y otras entidades, como aplicaciones y roles, así como información sobre los privilegios otorgados a estas entidades.
El panorama que surge puede volverse complejo rápidamente. Snowflake, por ejemplo, tiene cinco roles administrativos diferentes que los clientes pueden aprovisionar, según SpecterOps, que analizó posibles rutas de ataque en Snowflake.
El gráfico de acceso de Snowflake puede volverse complejo muy rápidamente. Fuente: SpectreOps
Y, debido a que las empresas tienden a sobreaprovisionar roles, un atacante puede obtener capacidades a través de roles no administrativos, dice Jared Atkinson, estratega jefe de SpecterOps.
“Los administradores tienden a otorgar acceso a los recursos más fácilmente, o otorgan un poco más de acceso del que el usuario necesita (piense en acceso de administrador en lugar de acceso de escritura), explica. Puede que esto no sea un gran problema para un usuario con un único recurso, pero con el tiempo, a medida que el negocio crece, puede convertirse en una enorme responsabilidad. »
Solicitud de usuarios que han establecido una contraseña (a diferencia de establecer el valor de la contraseña en Falso, que impide la autenticación de la contraseña), y examinar el historial de inicio de sesión donde se utilizaron factores de autenticación son posibles formas de detectar cuentas de usuario sospechosas o riesgosas.
2. Proporcionar cuentas de usuario a través de un proveedor de identidad.
A medida que las infraestructuras empresariales modernas se basan cada vez más en la nube, las empresas deben integrar un único proveedor de autenticación para cada empleado para gestionar mínimamente las identidades y el acceso a los proveedores de la nube. Sin este nivel de control (es decir, la capacidad de aprovisionar y desaprovisionar empleados rápidamente), la superficie de ataque heredada seguirá acechando a las organizaciones, afirma Chisholm de Obsidian.
Además, las empresas deben asegurarse de que su SSO esté configurado correctamente para iniciar sesión de forma segura a través de mecanismos de autenticación sólidos y, lo que es igualmente importante, los métodos heredados deben desactivarse, mientras que las aplicaciones a las que se les ha concedido acceso de terceros deben al menos ser monitoreadas, dijo.
«Los piratas informáticos pueden agregar un nombre de usuario y una contraseña a un inicio de sesión, agregar el inicio de sesión a través de una cuenta de servicio y permitirle iniciar sesión en esa cuenta de servicio, y nadie está monitoreando eso», dice Chisholm. “Nadie está monitoreando estas cuentas de acceso de terceros, estas conexiones de terceros… pero todas estas interconexiones, más todas las que los desarrolladores han creado, se convierten en esta increíble superficie de ataque que te está arruinando. »
Copo de nieve admite el sistema de gestión de identidad entre dominios (SCIM) para autorizar servicios y software SSO: la empresa nombra específicamente Okta SCIM y Azure AD SCIM — para administrar cuentas y roles de Snowflake.
3. Encuentre formas de limitar el radio de explosión de una brecha
Las filtraciones de datos facilitadas por las complejas configuraciones de seguridad de Snowflake podrían eventualmente rivalizar, o incluso superar, violaciones anteriores. Al menos un informe descubrió hasta 500 identificaciones legítimas para el servicio en línea Snowflake. Limitar o impedir el acceso desde direcciones de Internet desconocidas, por ejemplo, puede limitar el impacto de un inicio de sesión o una clave de sesión robados. En su última actualización del 11 de junio, Snowflake enumera 296 direcciones IP sospechosas vinculadas a malware que roba información.
Según Atkinson de SpecterOps, es fundamental encontrar otras formas de limitar la ruta de ataque a datos confidenciales.
«Sabemos por experiencia y por los detalles de este incidente en particular (las credenciales probablemente fueron robadas del sistema de un contratista y el acceso a ese sistema podría eludir todas las recomendaciones de Snowflake) que no se puede reducir la superficie de ataque solo hasta cierto punto», afirmó. dice. “Un subconjunto de atacantes aún logrará pasar. La gestión de las rutas de ataque limitará significativamente la capacidad de un atacante para acceder a los recursos y aplicarles efectos una vez que obtengan acceso. »
Las políticas de red se pueden utilizar para permitir que direcciones IP conocidas se conecten a una cuenta de Snowflake mientras se bloquean direcciones de Internet desconocidas, dependiendo de Documentación del copo de nieve.
