Data lagergiganten Snowflake avslørte 23. mai 2024 at de opplevde et datainnbrudd som berører minst 165 av kundene. Siden Snowflakes kunder er industrigiganter som LiveNation og Santander Bank, er denne hendelsen allerede i ferd med å forme seg til å bli et av de mest betydelige datainnbruddene i historien.

Snowflake har ennå ikke avslørt nøyaktig hvordan denne hendelsen skjedde. Uttalelser fra Snowflake og rettsmedisinske etterforskere på deres vegne indikerer imidlertid at dette bruddet var et resultat av legitimasjonstyveri.

Snowflake har offentlig uttalt at "trusselsaktøren skaffet personlig legitimasjon til og fikk tilgang til en demokonto eid av en tidligere Snowflake-ansatt," og Mandiant (som ble ansatt av Snowflake for å hjelpe med den rettsmedisinske etterforskningen av angrepet), har uttalt det "Mandiants undersøkelse har ikke funnet noen bevis som tyder på at uautorisert tilgang til Snowflake kundekontoer stammet fra et brudd på Snowflakes bedriftsmiljø. I stedet ble hver hendelse Mandiant reagerte på knyttet til denne kampanjen sporet tilbake til kompromitterte kundeopplysninger.»

Brukerlegitimasjon kan stjeles på ulike måter, noen av dem er innenfor organisasjonens kontroll og andre ikke. Ikke desto mindre er det nyttig å se på de vanligste måtene angripere stjeler legitimasjon og hvordan man kan redusere risikoen for at de oppstår.

Hvordan angripere stjeler legitimasjon

  • Hash av svake passord fra tidligere datainnbrudd: Det er vanskelig å huske passord, og mange brukere velger rett og slett å ikke bry seg. Dette gjør gjenbruk av passord til en av de kjente feilene ved moderne identitetssikkerhet. Dessuten, hvis du er koblet til internett, har du dessverre mest sannsynlig blitt utsatt for dataeksponering. Sett disse to sammen, og resultatet er at tidligere, storskala og høyprofilerte brudd sannsynligvis inneholder mange passord som er gyldige ikke bare for de brutte kontoene, men også for mange andre kontoer til disse brukerne.

Passord er kryptert i hashes, og når det oppstår et datainnbrudd som inneholder passord, lagres disse vanligvis i hashes, ikke ren tekst. Den konstante fremgangen innen datakraft gjør det imidlertid stadig lettere for angripere å dekryptere hash i klartekstformat. Selv om selv et moderat sterkt passord vil generere en hash som er for kompleks til å dekryptere på rimelig tid, er svakere passord sårbare for slike taktikker. Og når disse passordene blir gjenbrukt på tvers av flere kontoer, fører det til farlig eksponering.

  • Kontodeling: Selv om det ikke er en angrepsvektor i seg selv, er en vanlig kilde til legitimasjonseksponering delte kontoer. Dette er fordi når den samme legitimasjonen deles mellom flere brukere, øker risikoen for eksponering eksponentielt. Videre har delte kontoer en tendens til å ha omfattende tillatelser (for å imøtekomme de forskjellige brukstilfellene av forskjellige brukere) og har vanligvis ikke enkeltpålogging (SSO) og multifaktorautentisering (MFA) slått på. Disse vanlige egenskapene gjør delte kontoer til de beste kandidatene for legitimasjonseksponering, med katastrofale konsekvenser for organisasjoner.
  • Phishing: Selv om mange organisasjoner bruker proxy-baserte URL-filtreringstjenester, sikre nettgatewayer (SWG) og endepunkts DLP-løsninger, har nettkriminelle tilpasset seg og lært å omgå tradisjonelle anti-phishing-metoder. Dette er fordi konvensjonelle anti-phishing-metoder er avhengige av feeds med kjente ondsinnede URL-er eller tekster. Men phishing-gjerningspersoner har lært å bruke kortvarige URL-er (ofte "live" i bare noen få minutter), adaptive tekster og gjemme seg bak legitime webhotelltjenester for å unngå oppdagelse eller blokkering.

Som et resultat, til tross for alle anstrengelser for å bekjempe det, er god gammel phishing fortsatt med oss. Faktisk, ifølge 2024 Verizon Data Breach Investigations Report (DBIR), er phishing ansvarlig for 40 % av datainnbruddene.

  • Ondsinnede nettleserutvidelser: Hvorfor jobbe hardt for å bringe intetanende brukere til deg hvis du kan få dem til å bringe deg inn på datamaskinene sine og gi deg nøklene til kongeriket? Nettleserutvidelser har blitt en stift i nettleserens første verden, og brukere er ofte avhengige av utvidelser for kommunikasjon, produktivitet, shopping og mer.

Problemet er imidlertid at nettleserutvidelser rutinemessig gis omfattende tillatelser, inkludert passord, informasjonskapsler, økttokens og mer. Ondsinnede nettleserutvidelser bruker disse omfattende tillatelsene til å stjele data fra brukernes datamaskiner og har blitt en betydelig kilde til legitimasjonstyveri.

Handlingsbare tiltak for å redusere risikoen:

Teknikkene nevnt ovenfor er bare et glimt av utvalget av metoder hackere bruker for å stjele brukerlegitimasjon. Ikke desto mindre er det flere fornuftige og handlingsrettede skritt som organisasjoner kan ta for å redusere risikoen betydelig:

  • Håndhev sterke passord: Det er det eldste trikset i boka, men stemmer fortsatt. Sterke passord vil gjøre det vanskelig for angripere å brute-force eller reverse-engine passord, selv med formidable datahestekrefter på sin side.
  • Eliminer delte kontoer: eliminering av delte kontoer vil gå langt for å redusere trusseloverflaten din og sørge for at hver bruker har en egen konto, spesielt når du kombinerer den med følgende anbefaling –
  • Tving SSO og MFA: å tvinge brukere til kun å bruke organisasjonskontoene sine og å pålegge bruken av MFA sikrer ikke bare et høyere beskyttelsesnivå, men støtter også identitetsstyring og overholdelse
  • Implementer neste generasjons phishing-beskyttelse: Disse er ikke basert på feeds av kjente ondsinnede nettsider og URL-er, men analyserer aktivt hver enkelt nettside og genererer sin egen uavhengige risikoscoring.
  • Blokker risikable nettleserutvidelser: forhindre passordtyveri, innsamling av informasjonskapsler og eksponering av økttokener ved å deaktivere og blokkere risikable nettleserutvidelser.

Hvordan LayerX reduserer snøfnuggeksponering

LayerX er en nettlesersikkerhetsplattform som integreres med alle nettlesere. Det gir kontinuerlig overvåking, risikoanalyse og sanntidshåndhevelse av enhver hendelse og brukeraktivitet i nettlesingsøkten.

LayerX kan bidra til å redusere risikoen for Snowflake-legitimasjonseksponering på flere måter:

  1. Få innsyn i Snowflake-legitimasjonsbruken: Se hvilke brukere som bruker Snowflake-kontoer og om noen av Snowflake-kontoene deles mellom flere brukere.
  2. Tving rotasjon av Snowflake-passord: Sørg for at alle Snowflake-passord endres, og blokkerer all fremtidig tilgang.
  3. Mandat bruk av SSO på Snowflake-kontoer: Sørg for at alle Snowflake-kontoer bruker bedriftslegitimasjon støttet av SSO og MFA.

Kontakt oss i dag for å avtale en demo og se hvordan LayerX kan bidra til å beskytte deg!