На прошлой неделе печально известная банда хакеров ShinyHunters вызвала шок по всему миру, предположительно похитив 1,3 терабайта данных у 560 миллионов пользователей Ticketmaster. Это колоссальное нарушение, цена которого составляет 500 000 долларов, может привести к раскрытию личной информации огромного числа клиентов компании, проводящей живые мероприятия, что вызовет бурю беспокойства и возмущения.
Примечательно, что та же группа хакеров также предлагает данные якобы из Santander. Согласно заявлениям, украденные данные содержат конфиденциальную информацию, принадлежащую миллионам сотрудников и клиентов Santander. Банк подтвердил, что был осуществлен доступ к "базе данных, размещенной сторонним провайдером", что привело к утечке данных клиентов в Чили, Испании и Уругвае, а также всех нынешних и некоторых бывших сотрудников Santander.
Snowflake опубликовала предупреждение CISA, указывающее на "недавний рост активности в области киберугроз, нацеленных на учетные записи клиентов на платформе облачных данных". Snowflake рекомендовала пользователям запрашивать журналы базы данных на предмет необычной активности и проводить дальнейший анализ для предотвращения несанкционированного доступа пользователей.
В отдельном коммюнике исполнительный директор Snowflake Брэд Джонс дал понять, что сама система Snowflake взломана не была. По словам Джонса, "похоже, что это целевая кампания, направленная на пользователей с однофакторной аутентификацией", и участники угрозы использовали учетные данные, ранее полученные различными методами.
Snowflake также перечислила некоторые рекомендации для всех клиентов, такие как применение многофакторной аутентификации (MFA) для всех учетных записей, настройка правил сетевой политики, разрешающих доступ к облачной среде только из заранее установленных надежных местоположений, а также сброс и ротация учетных данных Snowflake.
Исследование, проведенное компанией по облачной безопасности Mitiga, утверждает, что инциденты со Snowflake являются частью кампании, в ходе которой злоумышленник использует украденные учетные данные клиентов для атак на организации, использующие базы данных Snowflake. Согласно опубликованному исследованию, "субъект угрозы в основном использовал среды, в которых отсутствует двухфакторная аутентификация", и атаки обычно происходили с коммерческих IP-адресов VPN.
Политики эффективны настолько, насколько эффективна их реализация и правоприменение. Такие технологии, как корпоративный единый вход (SSO) и MFA, могут существовать, но на самом деле не применяются во всех средах и пользователями. Не должно быть никакой возможности, что пользователи по-прежнему смогут проходить аутентификацию с использованием имени пользователя / пароля за пределами единого входа для доступа к какому-либо корпоративному ресурсу. То же самое верно и для MFA: вместо самостоятельной регистрации она должна быть обязательной для всех пользователей во всех системах и во всех средах, включая облачные и сторонние сервисы.
Показательный пример - автоматическая смена паролей. Современные инструменты управления привилегированным доступом, такие как One Identity Safeguard, могут менять пароли после использования. Это делает их эффективно одноразовыми и защищает среду от атак со взломом учетных данных, а также от более сложных угроз, таких как кейлоггеры, которые использовались при взломе LastPass. Однако API, предоставляющий эту функцию, должен присутствовать. Snowflake действительно предоставляет интерфейс для обновления паролей пользователей, поэтому клиент должен был использовать его и менять пароли в зависимости от использования или времени.
Выбирая место для размещения критически важных для бизнеса данных, убедитесь, что платформа предлагает эти API через управление привилегированной идентификацией и позволяет вам использовать новую среду под эгидой корпоративной безопасности. MFA, единый вход, смена паролей и централизованное ведение журнала должны быть базовыми требованиями в этой среде угроз, поскольку эти функции позволяют заказчику защищать данные со своей стороны.
Учетные записи, не являющиеся людьми, являются ценными целями для злоумышленников, поскольку они обычно имеют очень мощные разрешения для выполнения своих задач. Защита их учетных данных всегда должна быть приоритетом для служб безопасности. Snowflake использует множество учетных записей сервиса для работы с решением и разработала серию сообщений в блоге о том, как защитить эти учетные записи и их учетные данные.
Массовая утечка данных
Давайте рассмотрим факты. Live Nation официально подтвердила нарушение в заявлении 8-K в SEC. Согласно документу, опубликованному 20 мая, компания "выявила несанкционированную активность в облачной среде базы данных сторонних производителей, содержащей данные компании", в основном со стороны дочерней компании Ticketmaster. В связи с подачей исков Live Nation начала расследование и сотрудничает с правоохранительными органами. Пока что компания не верит, что нарушение окажет существенное влияние на ее бизнес-операции.Примечательно, что та же группа хакеров также предлагает данные якобы из Santander. Согласно заявлениям, украденные данные содержат конфиденциальную информацию, принадлежащую миллионам сотрудников и клиентов Santander. Банк подтвердил, что был осуществлен доступ к "базе данных, размещенной сторонним провайдером", что привело к утечке данных клиентов в Чили, Испании и Уругвае, а также всех нынешних и некоторых бывших сотрудников Santander.
Подключение к облаку
Что может связывать эти два нарушения, так это компания по обработке облачных данных Snowflake, которая считает своими пользователями как Santander, так и Live Nation / Ticketmaster. Ticketmaster подтвердил, что украденная база данных была размещена Snowflake.Snowflake опубликовала предупреждение CISA, указывающее на "недавний рост активности в области киберугроз, нацеленных на учетные записи клиентов на платформе облачных данных". Snowflake рекомендовала пользователям запрашивать журналы базы данных на предмет необычной активности и проводить дальнейший анализ для предотвращения несанкционированного доступа пользователей.
В отдельном коммюнике исполнительный директор Snowflake Брэд Джонс дал понять, что сама система Snowflake взломана не была. По словам Джонса, "похоже, что это целевая кампания, направленная на пользователей с однофакторной аутентификацией", и участники угрозы использовали учетные данные, ранее полученные различными методами.
Snowflake также перечислила некоторые рекомендации для всех клиентов, такие как применение многофакторной аутентификации (MFA) для всех учетных записей, настройка правил сетевой политики, разрешающих доступ к облачной среде только из заранее установленных надежных местоположений, а также сброс и ротация учетных данных Snowflake.
Упрощение кибербезопасности
Мы склонны романтизировать кибербезопасность, а это невероятно сложная дисциплина в области информационных технологий. Однако не все задачи в области кибербезопасности одинаково сложны. Руководство, предлагаемое Snowflake, действительно подчеркивает это: MFA является обязательным. Это невероятно эффективный инструмент против целого ряда кибератак, включая подделку учетных данных.Исследование, проведенное компанией по облачной безопасности Mitiga, утверждает, что инциденты со Snowflake являются частью кампании, в ходе которой злоумышленник использует украденные учетные данные клиентов для атак на организации, использующие базы данных Snowflake. Согласно опубликованному исследованию, "субъект угрозы в основном использовал среды, в которых отсутствует двухфакторная аутентификация", и атаки обычно происходили с коммерческих IP-адресов VPN.
Политики эффективны настолько, насколько эффективна их реализация и правоприменение. Такие технологии, как корпоративный единый вход (SSO) и MFA, могут существовать, но на самом деле не применяются во всех средах и пользователями. Не должно быть никакой возможности, что пользователи по-прежнему смогут проходить аутентификацию с использованием имени пользователя / пароля за пределами единого входа для доступа к какому-либо корпоративному ресурсу. То же самое верно и для MFA: вместо самостоятельной регистрации она должна быть обязательной для всех пользователей во всех системах и во всех средах, включая облачные и сторонние сервисы.
Вы полностью контролируете ситуацию?
Облака нет – это просто чужой компьютер, как гласит старая поговорка. И хотя вы (и ваша организация) действительно пользуетесь широким доступом к ресурсам этого компьютера, в конечном итоге этот доступ никогда не бывает полным, что является ограничением, присущим облачным вычислениям. Многопользовательские облачные технологии позволяют добиться экономии за счет масштаба за счет ограничения того, что может делать один клиент на этом "компьютере", и это иногда включает в себя возможность внедрения системы безопасности.Показательный пример - автоматическая смена паролей. Современные инструменты управления привилегированным доступом, такие как One Identity Safeguard, могут менять пароли после использования. Это делает их эффективно одноразовыми и защищает среду от атак со взломом учетных данных, а также от более сложных угроз, таких как кейлоггеры, которые использовались при взломе LastPass. Однако API, предоставляющий эту функцию, должен присутствовать. Snowflake действительно предоставляет интерфейс для обновления паролей пользователей, поэтому клиент должен был использовать его и менять пароли в зависимости от использования или времени.
Выбирая место для размещения критически важных для бизнеса данных, убедитесь, что платформа предлагает эти API через управление привилегированной идентификацией и позволяет вам использовать новую среду под эгидой корпоративной безопасности. MFA, единый вход, смена паролей и централизованное ведение журнала должны быть базовыми требованиями в этой среде угроз, поскольку эти функции позволяют заказчику защищать данные со своей стороны.
Нечеловеческая личность
Одним из уникальных аспектов современных технологий является нечеловеческая идентификация. Например, инструменты RPA (роботизированная автоматизация процессов), а также учетные записи служб доверены для выполнения некоторых задач в базе данных. Защита этих идентификационных данных является интересной задачей, поскольку внеполосные механизмы, такие как push-уведомления или токены TOTP, невозможны для случаев использования учетной записи сервиса.Учетные записи, не являющиеся людьми, являются ценными целями для злоумышленников, поскольку они обычно имеют очень мощные разрешения для выполнения своих задач. Защита их учетных данных всегда должна быть приоритетом для служб безопасности. Snowflake использует множество учетных записей сервиса для работы с решением и разработала серию сообщений в блоге о том, как защитить эти учетные записи и их учетные данные.
