Yönetim ve Risk Yönetimi, Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama, Parola ve Kimlik Bilgisi Yönetimi
Snowflake Müşterilerine Yönelik Üst Düzey Saldırıların Ardından Yeni Güvenlik Önlemleri
Akşaya Asokan (asokan_akshaya) •
16 Eylül 2024
Bulut tabanlı veri ambarı platformu Snowflake, Haziran ayında Santander Bank, Advance Auto Parts, Los Angeles Unified School District ve lüks perakendeci Neiman Marcus gibi önemli müşterileri hedef alan bir dizi siber saldırının ardından güvenliği artırmak için varsayılan çok faktörlü kimlik doğrulamayı ve en az 14 karakterlik bir parola zorunluluğunu devreye soktu.
Ayrıca bakınız: Corelight’tan Brian Dye, Fidye Yazılımlarını Yenmede NDR’nin Rolü Hakkında
Saldırganlar, Bozeman, Montana merkezli şirketin üçüncü taraf ortamını tehlikeye attılar ve çalınan kimlik bilgilerini kullanarak Snowflake müşteri kiracılarından çaldılar, dosyalarını indirdiler ve çalınan verileri silme vaadi karşılığında 5 milyon dolar talep ettiler (bkz: Snowflake Hackleme Dalgası 165 Kuruluşu Tehlikeye Atıyor).
Şirket, Cuma günü Ekim ayında oluşturulan hesaplar için kimlik doğrulamayla ilgili yeni güvenlik önlemlerini duyurdu. Bunlar arasında MFA, daha uzun parolalar ve parolaların tekrarlanmaması yer alıyor.
Şirket, “Ekim 2024’te oluşturulan tüm Snowflake hesaplarında tüm insan kullanıcılar için varsayılan olarak çok faktörlü kimlik doğrulaması uygulanacak” dedi ve değişikliklerin platformun “varsayılan olarak daha güvenli” olmasını sağlamaya yardımcı olacağını ve “yalnızca parola ile oturum açma” hedefinin ortadan kaldırılacağını sözlerine ekledi.
Snowflake servis kullanıcılarına, PowerBI, dbt Labs ve Tableau gibi veri görselleştirme araçları üzerinden platforma bağlanırken OAuth token doğrulaması veya anahtar çifti kimlik doğrulamasına güvenmeleri önerilir.
Saldırıların detayları ilk olarak 30 Mayıs’ta, Live Nation Entertainment’ın Ticketmaster’ından çalınan verilerin suç pazar yeri BreachForums’da satışa sunulmasının ardından ortaya çıktı (bkz: Snowflake İstemcileri Kimlik Bilgisi Saldırılarıyla Hedef Alındı).
Saldırılar, saldırganların çalınan veya başka bir şekilde diğer hizmetlerden veya veri sızıntılarından elde edilen kullanıcı adı ve parola çiftlerini yeniden kullandığı kimlik bilgisi doldurma işlemine bağlandı. Google Mandiant tarafından yapılan bir saldırı analizi, saldırıları UNC5537 olarak takip ettiği finansal olarak motive olmuş bir tehdit grubuna bağladı.
Snowflake, Temmuz ayında çok faktörlü kimlik doğrulamanın kullanımını güçlendirmek için bazı güvenlik özellikleri tanıttı. Bunlar arasında yöneticilere, Snowflake hesabı kullanıcılarının tümünün güçlü kimlik doğrulaması kullanmasını zorunlu kılma yetkisi verilmesi ve yöneticilerin kimlik bilgisi hırsızlığını, aşırı ayrıcalıklı hesapları ve artık hizmete erişmesi gerekmeyen “eski kullanıcıları” izlemelerine olanak tanıyan ücretsiz araçların piyasaya sürülmesi yer alıyor (bkz: Müşterilerin Güvenliği İhlal Edildikten Sonra Snowflake Güvenliği İyileştiriyor).
Snowflake yorum talebine hemen yanıt vermedi. Şirket Cuma günü son çabalarının, bulut hizmetleri, şirket içi yazılımlar ve diğer yazılım üreticilerini daha fazla yerleşik güvenliğe sahip ürünler tasarlamaya çağıran Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın Tasarımla Güvenli Taahhüdü ile uyumlu olduğunu söyledi.