Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama
Snowflake Müşterilerinin Verilerinin Çalınması, Tedarikçilerin Güçlü Savunmalara İhtiyaç Duyduğunu Gösteriyor
Mathew J. Schwartz (euroinfosec) •
28 Haziran 2024
Veri ambarı platformu Snowflake’un müşterilerinin yaşadığı veri ihlallerinden kim sorumlu?
Ayrıca bakınız: Proaktif Kimlik Yönetimi ile Küresel Güvenlik Düzenlemelerinde Yol Alma
Bu saldırının nasıl gerçekleştiğinin kısa versiyonu iki kelimeyle anlatılabilir: Kimlik bilgisi doldurma. Bu, genel veya özel bir veri sızıntısından kullanıcı adlarının (çoğunlukla e-posta adreslerinin) ve şifre çiftlerinin alınması ve bunların nerede çalışabileceklerini görmek için diğer sitelerde denenmesi anlamına gelir.
Olaylara müdahalede yardımcı olması için işe alınan Mandiant ve CrowdStrike, veri ihlalleriyle ilgili ortak bir raporda, saldırganların bu süreci otomatikleştirmek için klasik olarak “rapeflake” adı verilen (şu anda Google’ın Mandiant’ı tarafından “Frostbite” olarak izlenen) bir araç geliştirdiğini söyledi.
Snowflake’un müşterilerinin birden fazla hesabı ihlal edildi ve bazı kurbanlar çalınan veriler için fidye talepleri aldı. Araştırmacılar yaklaşık 165 kuruluşun etkilendiğini söylüyor. Çoğunun adı kamuoyuna açıklanmamış olsa da bilinen kurbanlar arasında Santander Bank, otomotiv parçaları tedarikçisi Advance Auto Parts, Los Angeles Unified School District ve lüks perakendeci Neiman Marcus yer alıyor.
Başka bir kurban olan Live Nation Entertainment’ın Ticketmaster’ı, en son veri ihlali bildiriminde Snowflake hesabının ihlalinin 2 Nisan’da başladığını ve 23 Mayıs’ta keşfedildiğini söyledi.
Snowflake’in bu ayın başlarında yayınladığı ortak raporda şöyle deniyor: “Bu etkinliğin Snowflake platformunun bir açığı, yanlış yapılandırması veya ihlali nedeniyle meydana geldiğine dair bir kanıt bulamadık.”
“Snowflake’un kurumsal ortamı ihlal edilmedi,” dedi bir sözcü. Snowflake CISO’su Brad Jones bir blog yazısında şöyle dedi: “Bunun, müşteri verilerini elde etme amacıyla devam eden sektör çapındaki kimlik tabanlı saldırıların sonucu olduğuna inanıyoruz.”
Sorumluluk Sorusu
Peki, kimlik bilgisi doldurma saldırıları veri ihlalleriyle sonuçlandığında sorumlu kim olacak?
“Sorumluluğun oranlarını tanımlamak zor, ancak açık olan şey güvenliğin ortak bir sorumluluk olduğudur,” diyor ücretsiz Have I Been Pwned? ihlal bildirim hizmetinin kurucusu veri ihlali uzmanı Troy Hunt. “Kimlik bilgileri müşteri adına eksiklikler yoluyla elde edildiyse, bu onların sorumluluğundadır, ancak aynı şekilde Snowflake gibi platformların bu saldırıların yaygın olduğu varsayımıyla çalışması ve bunlara karşı dayanıklılık sağlaması gerekir.”
Müşterilerinin hesapları böyle bir saldırıda ihlal edilen bir organizasyon için üzücü bir gerçek, en azından kamuoyunun algısında, sıklıkla sorumlu tutulmalarıdır. Kimlik bilgisi değiştirme saldırıları yıllardır yaygın ve meraklılar düzenli olarak hack forumlarında kimlik bilgisi doldurma listelerini değiştiriyorlar.
Bir kuruluş, kimlik bilgilerinin doldurulmasıyla mücadele etmek için elinden gelen her şeyi yaptığını göstermek için ne yapmalıdır?
Uzun zamandır şirketlere gerekli savunmalar konusunda danışmanlık yapan Hunt, bana modern bir yaklaşımın kendisi için “bilinen ihlal edilmiş parolaları engelleme, otomasyon önleme ve anormal kimlik doğrulama girişimi davranışlarını tanıma gibi kontrollerin bir kombinasyonunu” içereceğini söyledi.
İşte önerdiğim savunmaların tam listesi:
- Güçlü MFA’yı destekleyin. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, “Akıllı kart veya FIDO güvenlik anahtarı gibi ‘kimlik avına dayanıklı’ MFA’nın MFA korumasının altın standardı olduğunu” ve kullanıcıların her zaman “mümkün olan en güçlü MFA seviyesini” kullanmaları gerektiğini söylüyor. Ancak Hunt, MFA’nın her şeyi çözmeyeceğini, özellikle de “uygulama ile bulut platformu arasında iletişim kurmak için kullanılan anahtarlardan bahsettiğimizde” bunun daha da önemli olduğunu söylüyor.
- Güzel Sanatlar Yüksek Lisansını zorunlu hale getirin. Yöneticilere, kullanıcılarının güçlü, kimlik avına karşı dayanıklı MFA kullanmasını zorunlu kılma yeteneği verin.
- Tekrar kullanılan şifreleri reddedin. 2016 civarında, Facebook ve Netflix gibi siteler, müşterilerin başka bir sitede tekrar kullandığını tespit ettiklerinde kullanıcı şifrelerini zorla sona erdirmeye başladılar. Bu tür bilgiler için veri sızıntılarını sürekli olarak inceliyorlar.
- Tekrar kullanılan şifreleri engelleyin. Hunt, 2017 yılında, ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün bu uygulamayı önermeye başlamasından kısa bir süre sonra, sitelerin kullanıcıların bilinen bir veri ihlalinde görülen bir parolayı asla seçmemelerine yardımcı olmak için kullanabilecekleri ücretsiz Pwned Passwords hizmetini başlattı.
- Şüpheli davranışlarla mücadele edin. Hunt’ın “anormal kimlik doğrulama girişimi davranışını” izleme tavsiyesine göre, Frostbite gibi kötü amaçlı araçlar kullanan saldırganlar olabilecek olağandışı veya yüksek hacimli oturum açma isteklerini veya etkinliklerini engelleyin.
- Müşterileri doğrulayın. MFA, API’ler veya doğrudan veritabanları gibi her türlü bağlantıyı korumaz. Hunt, “Bu durumlarda, hizmeti kullanan istemcinin meşruluğunu doğrulama konusunda daha iyi kontrollere ihtiyaç duyulmaktadır” dedi.
Yaklaşık 165 Snowflake müşterisinin kimlik doldurma saldırıları nedeniyle Snowflake verilerinin kaybolmasıyla karşılaşmasının ardından, veri ambarı platformu MFA ve ağ tabanlı savunmalara yönelik yaklaşımını iyileştirme sözü verdi.
Snowflake şu anda yalnızca bir tür MFA’yı destekliyor: Cisco Duo, “ve yalnızca Snowflake tarafından yönetilen örnek,” dedi şirket, ancak geçen Ağustos ayında başka seçenekler eklemeyi değerlendirdiğini söyledi. Her kullanıcı bu MFA’ya kendi kendine kaydolmalıdır ve müşteriler MFA kullanımını zorunlu hale getiremez. Duo yalnızca Snowflake’un web tabanlı ön ucu Snowsight ve komut satırı arayüzü aracında değil, aynı zamanda şirketin SnowSQL ve Snowflake JDBC ve ODBC sürücülerinde de kimlik doğrulaması yapmak için kullanılabilir.
Snowflake ayrıca çoklu oturum açma için çeşitli SAML uyumlu sağlayıcıları da destekler. Okta ve Microsoft Active Directory Federasyon Hizmetleri, OAuth’un yanı sıra bir anahtar çifti oluşturan şifreleme donanım anahtarı kullanmanın yanı sıra yerel destek de sunar. Snowflake, “Hizmet hesapları (yani insan dışı etkileşimli kullanım durumları) için, makineler arası iletişim için statik kimlik bilgileri yerine anahtar çifti kimlik doğrulamasını veya OAuth’u kullanın” dedi.
Bu özelliklerden herhangi birine erişmenin ek Snowflake maliyetlerine yol açıp açmayacağı açık değil; Satıcı yorum isteğime hemen yanıt vermedi.
Mandiant, Snowflake müşterilerinin tüm kullanıcılarının MFA kullanmamasının veri ihlallerinde bir etken olmadığını söyledi. “Bu kampanyanın geniş etkisi, kimlik bilgilerinin izlenmesine, MFA’nın evrensel olarak uygulanmasına ve güvenli kimlik doğrulamaya, kraliyet mücevherleri için güvenilir konumlara yönelik trafiğin sınırlandırılmasına ve anormal erişim girişimlerine karşı uyarı verilmesine yönelik acil ihtiyacın altını çiziyor” dedi.
Snowflake, müşterilerine ek MFA ve diğer seçenekler sunmayı vadetti. Pazartesi günü “Müşterilerimizin çok faktörlü kimlik doğrulama veya ağ politikaları gibi gelişmiş güvenlik kontrolleri uygulamasını gerektiren bir plan geliştiriyoruz” dedi. İdeal olarak, şirket ayrıca CISA’nın savunduğu kimlik avına dayanıklı MFA’nın altın standardını da desteklemeye başlayacak.
Satıcılar ve hizmet sağlayıcılar, müşterileri ile ilgili veya onlar adına verileri sakladıklarından, varsayılan olarak kimlik avına karşı dayanıklı MFA’nın yanı sıra API’ler veya diğer yollar tarafından gerçekleştirilen kimlik bilgisi doldurma saldırılarını engellemek için ekstra güvenlik kontrolleri aramalıdırlar.
Daha azı durumunda, satıcılar kaçınılmaz olarak ortaya çıkacak müşteri verisi ihlallerinin sorumluluğunu üstlenme riskiyle karşı karşıya kalırlar.