Dane gigant magazynowy Snowflake ujawnił 23 maja 2024 r., że doświadczył naruszenia bezpieczeństwa danych dotyka co najmniej 165 jej klientów. Ponieważ klientami Snowflake są giganci branżowi, tacy jak LiveNation i Santander Bank, incydent ten już stał się jednym z najbardziej znaczących naruszeń danych w historii.

Snowflake nie ujawnił jeszcze dokładnie, jak doszło do tego zdarzenia. Jednakże oświadczenia firmy Snowflake i śledczych w jej imieniu wskazują, że naruszenie to było wynikiem kradzieży danych uwierzytelniających.

Snowflake oświadczył publicznie że „osoba atakująca uzyskała osobiste dane uwierzytelniające i uzyskała dostęp do konta demo należącego do byłego pracownika Snowflake” oraz Mandiant (który został zatrudniony przez Snowflake do pomocy w dochodzeniu kryminalistycznym w sprawie ataku), stwierdził to „Dochodzenie Mandiant nie znalazło żadnych dowodów sugerujących, że nieautoryzowany dostęp do kont klientów Snowflake wynikał z naruszenia środowiska korporacyjnego Snowflake. Zamiast tego każdy incydent, na który Mandiant zareagował w związku z tą kampanią, miał związek z naruszeniem danych uwierzytelniających klientów”.

Dane uwierzytelniające użytkownika mogą zostać skradzione na różne sposoby, przy czym niektóre z nich znajdują się pod kontrolą organizacji, a inne nie. Niemniej jednak warto przyjrzeć się najczęstszym sposobom kradzieży danych uwierzytelniających przez osoby atakujące i sposobom zmniejszenia ryzyka ich wystąpienia.

Jak atakujący kradną dane uwierzytelniające

  • Hashe słabych haseł z poprzednich naruszeń danych: Zapamiętywanie haseł jest trudne i wielu użytkowników po prostu woli się tym nie przejmować. To sprawia, że ​​ponowne użycie hasła jest jedną ze znanych bolączek współczesnego bezpieczeństwa tożsamości. Co więcej, jeśli masz połączenie z Internetem, niestety najprawdopodobniej padłeś ofiarą ujawnienia danych. Jeśli połączyć te dwa elementy, w rezultacie przeszłe, zakrojone na dużą skalę i głośne naruszenia prawdopodobnie zawierają wiele haseł, które są ważne nie tylko dla tych naruszonych kont, ale także dla wielu innych kont tych użytkowników.

Hasła są szyfrowane w postaci skrótów, a w przypadku naruszenia danych obejmujących hasła są one zazwyczaj przechowywane w postaci skrótów, a nie zwykłego tekstu. Jednakże ciągły postęp w mocy obliczeniowej sprawia, że ​​atakującym coraz łatwiej jest odszyfrować skróty w formacie zwykłego tekstu. Chociaż nawet umiarkowanie silne hasło wygeneruje skrót zbyt złożony, aby można go było odszyfrować w rozsądnym czasie, słabsze hasła są podatne na taką taktykę. A gdy te hasła są ponownie wykorzystywane na wielu kontach, prowadzi to do niebezpiecznego narażenia.

  • Udostępnianie konta: Chociaż sam w sobie nie jest wektorem ataku, częstym źródłem ujawnienia danych uwierzytelniających są wspólne konta. Dzieje się tak dlatego, że gdy te same dane uwierzytelniające są udostępniane wielu użytkownikom, ryzyko narażenia wzrasta wykładniczo. Co więcej, konta współdzielone mają zwykle szerokie uprawnienia (aby uwzględnić różnorodne przypadki użycia przez różnych użytkowników) i zazwyczaj nie mają włączonego logowania jednokrotnego (SSO) ani uwierzytelniania wieloskładnikowego (MFA). Te wspólne cechy sprawiają, że konta współdzielone są głównymi kandydatami do ujawnienia danych uwierzytelniających, co ma katastrofalne skutki dla organizacji.
  • phishing: Chociaż wiele organizacji korzysta z usług filtrowania adresów URL opartych na proxy, bezpiecznych bram internetowych (SWG) i rozwiązań DLP dla punktów końcowych, cyberprzestępcy przystosowali się i nauczyli się omijać tradycyjne metody ochrony przed phishingiem. Dzieje się tak, ponieważ konwencjonalne metody ochrony przed phishingiem opierają się na źródłach znanych złośliwych adresów URL lub tekstów. Jednak sprawcy ataków typu phishing nauczyli się korzystać z krótkotrwałych adresów URL (często „aktywnych” tylko przez kilka minut), adaptacyjnych tekstów i ukrywania się za legalnymi usługami hostingowymi, aby uniknąć wykrycia lub zablokowania.

W rezultacie, pomimo wszelkich wysiłków mających na celu zwalczanie tego zjawiska, stary, dobry phishing nadal jest powszechny. Faktycznie, według Raport firmy Verizon z dochodzeń w sprawie naruszeń danych z 2024 r. (DBIR)phishing jest odpowiedzialny za 40% naruszeń bezpieczeństwa danych.

  • Złośliwe rozszerzenia przeglądarki: Po co ciężko pracować, aby przyciągnąć do siebie niczego niepodejrzewających użytkowników, skoro można sprawić, by ściągnęli Cię na swoje komputery i dali klucze do królestwa? Rozszerzenia przeglądarki stały się podstawą świata opartego na przeglądarkach, a użytkownicy często polegają na rozszerzeniach w zakresie komunikacji, produktywności, zakupów i nie tylko.

Problem polega jednak na tym, że rozszerzeniom przeglądarki rutynowo przyznawane są szerokie uprawnienia, w tym hasła, pliki cookie, tokeny sesji i inne. Złośliwe rozszerzenia przeglądarki wykorzystują te szerokie uprawnienia do kradzieży danych z komputerów użytkowników i stały się znaczącym źródłem kradzieży danych uwierzytelniających.

Możliwe do zastosowania środki minimalizujące ryzyko:

Techniki wymienione powyżej to tylko rzut oka na szereg metod wykorzystywanych przez hakerów do kradzieży danych uwierzytelniających użytkowników. Niemniej jednak istnieje kilka zdroworozsądkowych i wykonalnych kroków, które organizacje mogą podjąć, aby znacznie zmniejszyć ryzyko:

  • Egzekwuj silne hasła: To najstarsza sztuczka w książce, ale wciąż aktualna. Silne hasła utrudnią atakującym użycie siły brute-force lub inżynierię wsteczną haseł, nawet mając po swojej stronie potężną moc obliczeniową.
  • Wyeliminuj wspólne konta: wyeliminowanie współdzielonych kont znacznie przyczyni się do zmniejszenia powierzchni zagrożeń i upewnienia się, że każdy użytkownik ma osobne konto, szczególnie jeśli połączysz je z następującym zaleceniem –
  • Wymuś logowanie jednokrotne i usługę MFA: zmuszanie użytkowników do korzystania wyłącznie z kont organizacyjnych i narzucanie korzystania z usługi MFA zapewnia nie tylko wyższy poziom ochrony, ale także wspiera zarządzanie tożsamością i zgodność
  • Wdrażaj zabezpieczenia przed phishingiem nowej generacji: nie opierają się one na kanałach znanych złośliwych stron internetowych i adresów URL, ale aktywnie analizują każdą pojedynczą stronę internetową i generują własną niezależną ocenę ryzyka.
  • Blokuj ryzykowne rozszerzenia przeglądarki: zapobiegaj kradzieży haseł, gromadzeniu plików cookie i ujawnianiu tokenów sesji poprzez wyłączanie i blokowanie ryzykownych rozszerzeń przeglądarki.

Jak LayerX ogranicza ryzyko ujawnienia danych uwierzytelniających płatka śniegu

LayerX to platforma bezpieczeństwa przeglądarki, która natywnie integruje się z dowolną przeglądarką. Zapewnia ciągłe monitorowanie, analizę ryzyka i egzekwowanie w czasie rzeczywistym wszelkich zdarzeń i aktywności użytkownika w sesji przeglądania.

LayerX może pomóc zmniejszyć ryzyko ujawnienia danych uwierzytelniających Snowflake na kilka sposobów:

  1. Uzyskaj wgląd w wykorzystanie poświadczeń płatka śniegu: sprawdza, którzy użytkownicy korzystają z kont Snowflake i czy którekolwiek z kont Snowflake jest współdzielone przez wielu użytkowników.
  2. Wymuś rotację haseł Snowflake: Upewnij się, że wszystkie hasła Snowflake zostały zmienione, blokując przyszły dostęp.
  3. Nakaż korzystanie z funkcji SSO na kontach Snowflake: Upewnij się, że wszystkie konta Snowflake korzystają z poświadczeń firmowych wspieranych przez logowanie jednokrotne i usługę MFA.

Skontaktuj się z nami już dziś, aby umówić się na demonstrację i przekonaj się, jak LayerX może pomóc Ci chronić!