Dados a gigante de armazenamento Snowflake divulgou em 23 de maio de 2024 que sofreu uma violação de dados afetando pelo menos 165 de seus clientes. Como os clientes da Snowflake são gigantes do setor, como LiveNation e Santander Bank, este incidente já se configura como uma das violações de dados mais significativas da história.

Snowflake ainda não revelou exatamente como esse incidente ocorreu. No entanto, declarações da Snowflake e de investigadores forenses em seu nome indicam que esta violação foi resultado de roubo de credenciais.

Snowflake declarou publicamente que “o autor da ameaça obteve credenciais pessoais e acessou uma conta de demonstração de propriedade de um ex-funcionário da Snowflake” e Mandiant (que foi contratada pela Snowflake para ajudar na investigação forense do ataque), afirmou que “A investigação da Mandiant não encontrou nenhuma evidência que sugira que o acesso não autorizado às contas dos clientes da Snowflake resultou de uma violação do ambiente empresarial da Snowflake. Em vez disso, todos os incidentes aos quais a Mandiant respondeu associados a esta campanha foram rastreados até credenciais de clientes comprometidas.”

As credenciais do usuário podem ser roubadas de várias maneiras, algumas das quais estão sob o controle da organização e outras não. No entanto, é útil observar as formas mais comuns pelas quais os invasores roubam credenciais e como reduzir o risco de que isso ocorra.

Como os invasores roubam credenciais

  • Hashes de senhas fracas de violações de dados anteriores: Lembrar senhas é difícil e muitos usuários simplesmente optam por não se preocupar. Isso torna a reutilização de senhas um dos males conhecidos da segurança de identidade moderna. Além disso, se você estiver conectado à internet, infelizmente, provavelmente já foi vítima de exposição de dados. Junte os dois e o resultado é que violações passadas, em grande escala e de alto perfil provavelmente contêm muitas senhas que são válidas não apenas para essas contas violadas, mas também para muitas outras contas desses usuários.

As senhas são criptografadas em hashes e, quando ocorre uma violação de dados que contém senhas, elas normalmente são armazenadas em hashes, e não em texto simples. No entanto, o avanço constante no poder da computação torna cada vez mais fácil para os invasores descriptografar hashes em formato de texto simples. Embora mesmo uma senha moderadamente forte gere um hash complexo demais para ser descriptografado em um tempo razoável, senhas mais fracas são vulneráveis ​​a tais táticas. E quando essas senhas são reutilizadas em várias contas, isso leva a uma exposição perigosa.

  • Compartilhamento de conta: embora não seja um vetor de ataque por si só, uma fonte comum de exposição de credenciais são as contas compartilhadas. Isso ocorre porque quando as mesmas credenciais são compartilhadas entre vários usuários, o risco de exposição aumenta exponencialmente. Além disso, as contas compartilhadas tendem a ter permissões extensas (para acomodar a variedade de casos de uso por diferentes usuários) e normalmente não têm o logon único (SSO) e a autenticação multifator (MFA) ativados. Essas características comuns tornam as contas compartilhadas as principais candidatas à exposição de credenciais, com efeitos desastrosos para as organizações.
  • Phishing: Embora muitas organizações utilizem serviços de filtragem de URL baseados em proxy, gateways web seguros (SWGs) e soluções DLP de endpoint, os cibercriminosos se adaptaram e aprenderam a contornar os métodos antiphishing tradicionais. Isso ocorre porque os métodos antiphishing convencionais dependem de feeds de URLs ou textos maliciosos conhecidos. No entanto, os perpetradores de esquemas de phishing aprenderam a usar URLs de curta duração (muitas vezes “ativos” por apenas alguns minutos), textos adaptáveis ​​e se esconder atrás de serviços legítimos de hospedagem na web para evitar detecção ou bloqueio.

Como resultado, apesar de todos os esforços para combatê-lo, o bom e velho phishing ainda está entre nós. Na verdade, de acordo com o Relatório de investigações de violação de dados da Verizon de 2024 (DBIR), o phishing é responsável por 40% das violações de dados.

  • Extensões de navegador maliciosas: Por que trabalhar duro para trazer usuários desavisados ​​até você se você pode fazer com que eles o tragam para seus computadores e lhe dêem as chaves do reino? As extensões de navegador se tornaram um elemento básico do mundo dos navegadores, e os usuários geralmente contam com extensões para comunicação, produtividade, compras e muito mais.

O problema, entretanto, é que as extensões do navegador recebem rotineiramente permissões extensas, incluindo senhas, cookies, tokens de sessão e muito mais. Extensões de navegador maliciosas usam essas permissões extensas para roubar dados dos computadores dos usuários e se tornaram uma fonte significativa de roubo de credenciais.

Medidas viáveis ​​para mitigar o risco:

As técnicas mencionadas acima são apenas um vislumbre da variedade de métodos que os hackers usam para roubar credenciais de usuários. No entanto, existem várias medidas práticas e de bom senso que as organizações podem tomar para reduzir enormemente o risco:

  • Aplique senhas fortes: É o truque mais antigo do livro, mas ainda é válido. Senhas fortes dificultarão o uso de força bruta ou engenharia reversa de senhas pelos invasores, mesmo com um poder de computação formidável ao seu lado.
  • Elimine contas compartilhadas: eliminar contas compartilhadas contribuirá muito para reduzir a superfície de ameaças e garantir que cada usuário tenha uma conta distinta, especialmente quando você a combina com a seguinte recomendação –
  • Forçar SSO e MFA: forçar os usuários a usar apenas suas contas organizacionais e obrigar o uso de MFA garante não apenas um nível mais alto de proteção, mas também apoia a governança e conformidade de identidade
  • Implemente proteções contra phishing de última geração: não se baseiam em feeds de páginas da Web e URLs maliciosas conhecidas, mas analisam ativamente cada página da Web individual e geram sua própria pontuação de risco independente.
  • Bloqueie extensões de navegador arriscadas: evita o roubo de senhas, a coleta de cookies e a exposição de tokens de sessão, desativando e bloqueando extensões de navegador arriscadas.

Como LayerX mitiga a exposição de credenciais do Snowflake

LayerX é uma plataforma de segurança de navegador que se integra nativamente a qualquer navegador. Ele fornece monitoramento contínuo, análise de risco e aplicação em tempo real de qualquer evento e atividade do usuário na sessão de navegação.

LayerX pode ajudar a mitigar o risco de exposição de credenciais do Snowflake de várias maneiras:

  1. Obtenha visibilidade do uso de credenciais do Snowflake: veja quais usuários estão usando contas do Snowflake e se alguma das contas do Snowflake está sendo compartilhada entre vários usuários.
  2. Forçar rotação de senhas do Snowflake: certifique-se de que todas as senhas do Snowflake sejam alteradas, bloqueando qualquer acesso futuro.
  3. Obrigar o uso de SSO em contas Snowflake: certifique-se de que todas as contas Snowflake usem credenciais corporativas apoiadas por SSO e MFA.

Contate-nos hoje para agendar uma demonstração e veja como o LayerX pode ajudar a protegê-lo!