Kimlik ve Erişim Yönetimi, Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Yöneticilere Verilen Yeni Özellikler Arasında Zorunlu Çok Faktörlü Kimlik Doğrulaması da Var
Mathew J. Schwartz (euroinfosec) •
10 Temmuz 2024
Snowflake’un çok sayıda müşterisinin toplu olarak terabaytlarca veriyi saldırganlara kaptırmasının ardından, bulut tabanlı veri ambarı platformu bir dizi siber güvenlik iyileştirmesi kullanıma sundu.
Ayrıca bakınız: İsteğe Bağlı Web Semineri I Kimlik Tespiti ve Müdahale (IDR) – Hazır mısınız?
İlk kez, yöneticiler Snowflake hesap kullanıcılarının her birinin hesap erişimini korumak için güçlü kimlik doğrulaması kullanmasını zorunlu kılabiliyor. Diğer araçlar, yöneticilerin kimlik bilgisi hırsızlığını, aşırı ayrıcalıklı hesapları ve artık hizmete erişmesi gerekmeyen “eski kullanıcıları” izlemesine olanak tanıyor.
Snowflake CISO’su Brad Jones ve ürün güvenliği sorumlusu Anoosh Saboori Salı günü yayınladıkları blog yazısında, tüm yeni özelliklerin artık “tüm Snowflake sürümlerinde ücretsiz olarak sunulduğunu” ve bazı durumlarda varsayılan olarak etkin olduğunu söyledi.
Tüm yeni kullanıcılar için varsayılan çok faktörlü kimlik doğrulama norm haline gelecek. “Yakında, Snowflake yeni oluşturulan Snowflake hesaplarındaki tüm insan kullanıcılar için MFA gerektirecek,” dediler.
Yeni işlevsellik – ve daha fazla güvenlik iyileştirmesinin yolda olduğuna dair söz – saldırganların çalınan veya başka bir şekilde diğer hizmetlerden veya veri sızıntılarından elde edilen kullanıcı adı ve parola çiftlerini yeniden kullandığı kimlik bilgisi doldurma saldırıları yoluyla 165 kuruluşun Snowflake hesaplarının ihlal edilmesinin ardından geldi. Snowflake hesaplarının ihlali ilk olarak 30 Mayıs’ta, Live Nation Entertainment’ın Ticketmaster’ından çalınan verilerin suç pazarı BreachForums’da satışa sunulmasının ardından kamuoyuna duyuruldu. Daha sonra, verileri çalınan bazı Snowflake müşterileri, çalınan verileri silme vaadi karşılığında 5 milyon dolara kadar fidye talep eden saldırganlardan fidye talepleri aldı.
Güvenlik uzmanları, Snowflake’un güvenlik iyileştirmelerini memnuniyetle karşıladı ve bunların hesapları taklit saldırılara karşı korumak için gerekli olduğunu söyledi. İngiliz siber güvenlik uzmanı Kevin Beaumont, Mastodon’a yazdığı bir gönderide “Bu, önceki kurulumdan kaynaklanan tüm içsel ürün zayıflıklarını çözüyor, iyi iş çıkardılar” dedi.
“Bu, Snowflake’ten gelen hoş bir hareket ve platformun tüm kullanıcılarını MFA’yı etkinleştirmeye teşvik ediyorum,” dedi Dublin merkezli siber güvenlik danışmanlık şirketi BH Consulting’in başkanı Brian Honan. “Mümkün olduğunda, büyük kuruluşlarda çalışanlar Snowflake’a erişimlerini genel kimlik ve erişim yönetimi çözümlerine entegre etmeye çalışmalı ve Snowflake bu kuruluşlara bunu yapmalarında yardımcı olmalıdır.”
CrowdStrike ve Mandiant ile yürütülen bir soruşturmada Snowflake, saldırganların kimlik bilgisi doldurma saldırıları yoluyla müşteri hesaplarına eriştiği sonucuna vardı. Çoğu kurbanın adı kamuoyuna açıklanmasa da bilinen kurbanlar arasında Santander Bank, otomotiv parçaları tedarikçisi Advance Auto Parts, Los Angeles Unified School District ve lüks perakendeci Neiman Marcus yer alıyor.
MFA kusursuz olmasa da – saldırganlar savunmayı aşmak için taktiklerini geliştirmeye devam ediyor, buna sosyal mühendislik ve benzeri kimlik avı sayfaları da dahil – güvenlik uzmanları mümkün olan her yerde bunu kullanmanızı öneriyor. Çok faktörlü saldırılara maliyet ve karmaşıklık katıyor ve çoğu durumda onları tamamen durduruyor.
Cyjax CISO’su Ian Thornton-Trump, “Benim görüşüm, MFA’yı isteğe bağlı bir özellik olarak sunmaktan çok uzak olduğumuz ve MFA’nın zorunlu bir özellik olması gerektiği olay ufkuna hızla yaklaştığımız yönünde” dedi.
Yöneticiler daha önce Snowflake kullanıcılarını MFA’yı etkinleştirmeye zorlayamıyordu ancak artık bu yeteneğe sahipler.
“Yöneticilerin MFA kullanımını zorunlu kılmasına yardımcı olmak için, Snowflake kimlik doğrulama politikalarımızı, bir hesaptaki tüm kullanıcılar için MFA gerektiren yeni bir seçeneği içerecek şekilde geliştirdik,” dedi Jones ve Saboori. “Yönetici, bu politikanın kapsamının yerel kullanıcılara mı yoksa tek oturum açma (SSO) kullanıcılarını mı kapsayacağına karar verebilir.”
Yöneticiler Snowflake hesap kullanıcıları için MFA’yı zorunlu hale getirmese bile, platform kullanıcıları yine de MFA’yı etkinleştirmeleri konusunda aktif olarak teşvik etmeye başladı.
“MFA’sı olmayan kullanıcılar Snowsight’ta oturum açtıklarında, MFA’yı etkinleştirmeleri istenecek ve yapılandırma adımları boyunca yönlendirilecekler,” dediler. “Bu iletişim kutusu kapatılabilir, ancak kullanıcı için MFA yapılandırılmamışsa üç gün içinde yeniden görünecektir.”
Snowflake’in MFA dokümantasyonu, bu özelliğe erişmenin tek yolunun Duo Security hizmeti olduğunu söylüyor, ancak şirket kullanıcıların yalnızca uygulamaya ihtiyaç duyduğunu söylüyor. “Kullanıcıların Duo’ya ayrı olarak kaydolması veya birden fazla akıllı telefon platformunda desteklenen Duo Mobile uygulamasını yüklemek dışında herhangi bir görev gerçekleştirmesi gerekmiyor,” diyor.
Snowflake, kuruluşların “hizmet kullanıcıları” için MFA’yı etkinleştirmemesi gerektiğini söyledi. Bu, bir kuruluşun Snowflake hesabına giriş yapmayı içeren üçüncü taraf araçları veya diğer makineden makineye iletişimleri ifade eder – örneğin, SQL kodunu yürütmek için. “Bu tür kullanıcılar için, parolalardan anahtar çifti kimlik doğrulamasına veya harici OAuth’a geçin,” dedi.
Salı günü itibariyle, Snowflake’un Trust Center’ında yeni özellikler yayına girdi. Şirket, yöneticilerin platformla ilgili kuruluşlarının “risk duruşunu” yönetmeleri için web tabanlı bir arayüz olduğunu söylüyor. Bu arayüz, kullanıcıların belirledikleri güvenlik politikalarına uyması da dahil. Bunlar, potansiyel güvenlik risklerini izleyen tarayıcılar adı verilen planlanmış arka plan süreçleri aracılığıyla kontrol ediliyor.
Snowflake’un açıklamasına göre Güven Merkezi artık kullanıcıların MFA ve diğer ağ politikalarına uyumunu inceleyecek bir Security Essentials tarayıcı paketi ve İnternet Güvenliği Merkezi ile birlikte geliştirilen bir CIS Benchmarks tarayıcı paketini de bünyesinde barındırıyor.
Snowflake, bu geliştirmelerin “bir topluluk fikir birliği sürecinin ürünü” olduğunu ve “Snowflake için geliştirilen güvenli yapılandırma yönergelerinden” oluştuğunu söyledi. Bunların, kimlik bilgilerinin yeniden kullanımını, “aşırı ayrıcalıklı varlıkları, son 90 gündür oturum açmamış eski kullanıcıları” ve endişe verici diğer konuları tespit etmek için tasarlandığını söyledi.
“Varsayılan olarak, Security Essentials tarayıcı paketi etkindir ve devre dışı bırakılamaz,” dedi Snowflake. “Security Essentials tarayıcı paketi sunucusuz hesaplama maliyetine neden olmaz.”
Snowflake, güvenlik, risk ve uyumluluğu izleme yeteneklerini yenilemeye devam edeceğini söyledi. Jones ve Saboori, “Snowflake müşterilerinin hesaplarına yönelik tehditleri ve saldırıları daha iyi tespit etmelerine yardımcı olmak için Güven Merkezi’ne özellikler eklemeye devam edeceğiz. Önümüzdeki aylarda daha fazla ayrıntı paylaşacağız” dedi.