时间 仓储巨头 Snowflake 于 23 年 2024 月 XNUMX 日披露,他们遭遇了数据泄露 影响至少 165 名客户由于Snowflake的客户是LiveNation、桑坦德银行等行业巨头,此次事件有望成为历史上最严重的数据泄露事件之一。

Snowflake 尚未披露此次事件的具体发生过程。不过,Snowflake 及其法医调查人员的声明表明,此次入侵是凭证盗窃的结果。

Snowflake 已公开表示 “威胁行为者获得了一名前 Snowflake 员工的个人凭证并访问了他的模拟账户”,而 Mandiant(该公司受 Snowflake 聘用,协助对攻击进行取证调查) 已经说过 “Mandiant 的调查没有发现任何证据表明对 Snowflake 客户账户的未经授权访问源于对 Snowflake 企业环境的入侵。相反,Mandiant 响应的与此活动相关的每起事件都可以追溯到被盗用的客户凭证。”

用户凭证可能以各种方式被盗,其中一些在组织控制范围内,而另一些则不在。尽管如此,了解攻击者窃取凭证的最常见方式以及如何降低发生此类情况的风险是有帮助的。

攻击者如何窃取凭证

  • 先前数据泄露事件中的弱密码哈希值:记住密码很难,许多用户干脆选择不去费心。这使得密码重用成为现代身份安全已知的弊端之一。此外,不幸的是,如果您连接到互联网,您很可能成为数据泄露的受害者。将这两点结合起来,结果是过去大规模、引人注目的泄密事件可能包含许多密码,这些密码不仅适用于被泄露的帐户,也适用于这些用户的许多其他帐户。

密码以哈希加密,当发生包含密码的数据泄露时,这些密码通常以哈希而不是纯文本形式存储。然而,计算能力的不断进步使得攻击者越来越容易解密纯文本格式的哈希。尽管即使是中等强度的密码也会生成过于复杂的哈希,无法在合理的时间内解密,但较弱的密码很容易受到此类策略的攻击。当这些密码在多个帐户中重复使用时,会导致危险的暴露。

  • 账户共享:虽然共享账户本身并不是攻击媒介,但它是凭证暴露的一个常见来源。这是因为当多个用户共享相同的凭证时,暴露的风险会成倍增加。此外,共享账户往往具有广泛的权限(以适应不同用户的各种用例),并且通常没有启用单点登录 (SSO) 和多因素身份验证 (MFA)。这些共同特征使共享账户成为凭证暴露的主要候选者,对组织造成灾难性的影响。
  • 網絡釣魚:尽管许多组织使用基于代理的 URL 过滤服务、安全网关 (SWG) 和端点 DLP 解决方案,但网络犯罪分子已经适应并学会了绕过传统的反网络钓鱼方法。这是因为传统的反网络钓鱼方法依赖于已知恶意 URL 或文本的源。然而,网络钓鱼计划的实施者已经学会使用短暂的 URL(通常只“存活”几分钟)、自适应文本,并隐藏在合法的网络托管服务后面,以避免被发现或阻止。

因此,尽管我们尽了一切努力打击网络钓鱼,但网络钓鱼仍然存在。事实上,根据 2024 年 Verizon 数据泄露调查报告 (DBIR),网络钓鱼造成了 40% 的数据泄露。

  • 恶意浏览器扩展:如果您可以让毫无戒心的用户将您带入他们的计算机并给您王国的钥匙,那么为什么还要努力吸引他们呢?浏览器扩展已成为浏览器优先世界的主要内容,用户通常依靠扩展进行通信、提高工作效率、购物等。

但问题是,浏览器扩展程序通常会被授予大量权限,包括密码、cookie、会话令牌等。恶意浏览器扩展程序会利用这些大量权限窃取用户计算机中的数据,并成为凭据窃取的重要来源。

降低风险的可行措施:

上述技术只是黑客窃取用户凭证所用方法的冰山一角。不过,组织可以采取一些常识性和可操作的步骤来大大降低风险:

  • 强制使用强密码:这是最古老的伎俩,但仍然适用。强密码将使攻击者难以暴力破解或逆向工程密码,即使攻击者拥有强大的计算能力。
  • 消除共享账户:消除共享帐户将大大减少您的威胁面,并确保每个用户都有一个不同的帐户,尤其是当您将其与以下建议相结合时 -
  • 强制 SSO 和 MFA:强制用户仅使用其组织帐户并强制使用 MFA 不仅可以确保更高级别的保护,而且还支持身份治理和合规性
  • 部署下一代网络钓鱼防护措施:这些不是基于已知恶意网页和 URL 的提要,而是主动分析每个单独的网页并生成自己独立的风险评分。
  • 阻止有风险的浏览器扩展:通过禁用和阻止有风险的浏览器扩展来防止密码盗窃、cookie 收集和会话令牌暴露。

LayerX 如何缓解 Snowflake 凭证暴露

LayerX 是一个浏览器安全平台,可与任何浏览器原生集成。它提供对浏览会话中任何事件和用户活动的持续监控、风险分析和实时执行。

LayerX 可以通过多种方式帮助降低 Snowflake 凭证暴露的风险:

  1. 了解 Snowflake 凭证的使用情况:查看哪些用户正在使用 Snowflake 帐户,以及是否有任何 Snowflake 帐户在多个用户之间共享。
  2. 强制轮换 Snowflake 密码:确保所有 Snowflake 密码都已更改,以阻止任何将来的访问。
  3. 强制使用 Snowflake 帐户的 SSO:确保所有 Snowflake 帐户都使用由 SSO 和 MFA 支持的公司凭证。

立即联系我们安排演示 看看 LayerX 如何帮助保护您!