Data 거대 창고업체 Snowflake는 23년 2024월 XNUMX일에 데이터 침해를 경험했다고 밝혔습니다. 최소 165명의 고객에게 영향을 미침. Snowflake의 고객은 LiveNation 및 Santander Bank와 같은 업계 거대 기업이기 때문에 이 사건은 이미 역사상 가장 중요한 데이터 침해 중 하나로 자리잡고 있습니다.
스노우플레이크는 이번 사건이 어떻게 발생했는지 아직까지 구체적으로 밝히지 않았습니다. 그러나 Snowflake와 이를 대신한 법의학 조사관의 진술에 따르면 이번 위반은 자격 증명 도용의 결과였습니다.
Snowflake가 공개적으로 밝혔습니다. "위협 행위자는 전 Snowflake 직원이 소유한 데모 계정에 대한 개인 자격 증명을 획득하고 액세스했습니다." 및 Mandiant(공격에 대한 법의학 조사를 돕기 위해 Snowflake에 고용됨) 저것은 진술했다 “Mandiant의 조사에서는 Snowflake 고객 계정에 대한 무단 액세스가 Snowflake의 기업 환경 침해로 인해 발생했다는 것을 암시하는 어떠한 증거도 발견하지 못했습니다. 대신 Mandiant가 이 캠페인과 관련하여 대응한 모든 사건은 손상된 고객 자격 증명으로 추적되었습니다.”
사용자 자격 증명은 다양한 방법으로 도난당할 수 있으며 그 중 일부는 조직의 통제 범위 내에 있고 나머지는 그렇지 않습니다. 그럼에도 불구하고 공격자가 자격 증명을 훔치는 가장 일반적인 방법과 이러한 일이 발생할 위험을 줄이는 방법을 살펴보는 것이 도움이 됩니다.
공격자가 자격 증명을 훔치는 방법
- 이전 데이터 유출로 인한 취약한 비밀번호의 해시: 비밀번호를 기억하는 것은 어려운 일이므로 많은 사용자는 귀찮게 하지 않기로 선택합니다. 이로 인해 암호 재사용은 현대 신원 보안의 알려진 문제 중 하나가 됩니다. 더욱이 인터넷에 연결되어 있다면 안타깝게도 데이터 노출의 피해자일 가능성이 높습니다. 이 두 가지를 합치면 과거의 대규모 침해에는 침해된 계정뿐만 아니라 해당 사용자의 다른 많은 계정에도 유효한 많은 비밀번호가 포함될 가능성이 높습니다.
비밀번호는 해시로 암호화되며, 비밀번호가 포함된 데이터 유출이 발생하면 일반적으로 일반 텍스트가 아닌 해시에 저장됩니다. 그러나 컴퓨팅 성능이 지속적으로 발전함에 따라 공격자가 일반 텍스트 형식의 해시를 해독하는 것이 점점 더 쉬워졌습니다. 적당히 강력한 비밀번호라도 합리적인 시간 내에 해독하기에는 너무 복잡한 해시를 생성하지만, 약한 비밀번호는 그러한 전술에 취약합니다. 그리고 해당 비밀번호가 여러 계정에서 재사용되면 위험한 노출로 이어집니다.
- 계정 공유: 그 자체로는 공격 벡터는 아니지만 자격 증명 노출의 일반적인 소스는 공유 계정입니다. 이는 동일한 자격 증명을 여러 사용자가 공유하면 노출 위험이 기하급수적으로 증가하기 때문입니다. 또한 공유 계정은 다양한 사용자의 다양한 사용 사례를 수용하기 위해 광범위한 권한을 갖는 경향이 있으며 일반적으로 SSO(Single Sign-On) 및 MFA(다단계 인증)가 켜져 있지 않습니다. 이러한 일반적인 특성으로 인해 공유 계정은 자격 증명 노출의 주요 후보가 되며 조직에 심각한 영향을 미칩니다.
- 피싱 (Phishing): 많은 조직에서 프록시 기반 URL 필터링 서비스, 보안 웹 게이트웨이(SWG) 및 엔드포인트 DLP 솔루션을 사용하고 있지만 사이버 범죄자는 기존 피싱 방지 방법을 우회하는 방법을 적응하고 학습했습니다. 이는 기존의 피싱 방지 방법이 알려진 악성 URL이나 텍스트의 피드에 의존하기 때문입니다. 그러나 피싱 사기 가해자는 감지 또는 차단을 피하기 위해 수명이 짧은 URL(종종 단 몇 분 동안만 '라이브'), 적응형 텍스트를 사용하고 합법적인 웹 호스팅 서비스 뒤에 숨어 있는 방법을 배웠습니다.
결과적으로, 이를 퇴치하기 위한 모든 노력에도 불구하고 좋은 피싱은 여전히 우리 곁에 있습니다. 실제로,에 따르면 2024년 Verizon 데이터 침해 조사 보고서(DBIR), 피싱은 데이터 침해의 40%를 담당합니다.
- 악성 브라우저 확장 프로그램: 그들이 당신을 자신의 컴퓨터로 데려와 왕국의 열쇠를 주도록 할 수 있다면 의심하지 않는 사용자를 당신에게 데려오려고 열심히 노력할 이유가 무엇입니까? 브라우저 확장은 브라우저 중심 세계의 필수 요소가 되었으며 사용자는 일반적으로 통신, 생산성, 쇼핑 등을 위해 확장에 의존합니다.
그러나 문제는 브라우저 확장 프로그램에 비밀번호, 쿠키, 세션 토큰 등을 포함한 광범위한 권한이 정기적으로 부여된다는 것입니다. 악성 브라우저 확장 프로그램은 이러한 광범위한 권한을 사용하여 사용자 컴퓨터에서 데이터를 훔치고 자격 증명 도용의 중요한 소스가 되었습니다.
위험을 완화하기 위한 실행 가능한 조치:
위에 언급된 기술은 해커가 사용자 자격 증명을 훔치기 위해 사용하는 다양한 방법 중 일부에 불과합니다. 그럼에도 불구하고 조직이 위험을 대폭 줄이기 위해 취할 수 있는 몇 가지 상식적이고 실행 가능한 단계가 있습니다.
- 강력한 비밀번호 시행: 책에 나오는 가장 오래된 트릭이지만 여전히 유효합니다. 강력한 암호를 사용하면 공격자가 강력한 컴퓨팅 성능을 갖고 있더라도 암호를 무차별 대입 공격하거나 리버스 엔지니어링하기가 어렵습니다.
- 공유 계정 제거: 공유 계정을 제거하면 위협 노출 범위가 줄어들고 각 사용자가 고유한 계정을 갖도록 하는 데 큰 도움이 됩니다. 특히 다음 권장 사항과 결합하면 더욱 그렇습니다.
- 강제 SSO 및 MFA: 사용자가 조직 계정만 사용하도록 하고 MFA 사용을 의무화하면 더 높은 수준의 보호가 보장될 뿐만 아니라 ID 거버넌스 및 규정 준수도 지원됩니다.
- 차세대 피싱 보호 배포: 알려진 악성 웹페이지 및 URL의 피드를 기반으로 하지 않고, 각 개별 웹페이지를 적극적으로 분석하여 자체적으로 독립적인 위험 점수를 생성합니다.
- 위험한 브라우저 확장 프로그램 차단: 위험한 브라우저 확장 기능을 비활성화하고 차단하여 비밀번호 도용, 쿠키 수집, 세션 토큰 노출을 방지합니다.
LayerX가 Snowflake 자격 증명 노출을 완화하는 방법
LayerX는 모든 브라우저와 기본적으로 통합되는 브라우저 보안 플랫폼입니다. 이는 탐색 세션의 모든 이벤트 및 사용자 활동에 대한 지속적인 모니터링, 위험 분석 및 실시간 시행을 제공합니다.
LayerX는 다음과 같은 여러 가지 방법으로 Snowflake 자격 증명 노출 위험을 완화하는 데 도움이 될 수 있습니다.
- Snowflake 자격 증명 사용에 대한 가시성 확보: 어떤 사용자가 Snowflake 계정을 사용하고 있는지, Snowflake 계정이 여러 사용자 간에 공유되고 있는지 확인하세요.
- Snowflake 비밀번호 강제 교체: 모든 Snowflake 비밀번호를 변경하여 향후 액세스를 차단하는지 확인하세요.
- Snowflake 계정에 SSO 사용 의무화: 모든 Snowflake 계정이 SSO 및 MFA가 지원하는 회사 자격 증명을 사용하는지 확인하세요.
데모를 예약하려면 지금 문의하십시오. LayerX가 어떻게 사용자를 보호하는 데 도움이 되는지 알아보세요!
