Dalış Özeti:
- Snowflake, müşterilerin Snowflake ortamlarına erişmesine engel olacak ve artık izin vermeyecektir. tek faktörlü kimlik doğrulama şifreleri Şirket bu ayın başında Kasım 2025’e kadar bu rakamın açıklanacağını söyledi.
- Politika değişikliği aşamalı olarak yürürlüğe girecek ve Nisan 2025’ten itibaren sekiz aylık bir süre boyunca hesap kapsayıcıları, kullanıcı nesneleri, insan kullanıcılar ve hizmet kullanıcıları için oturum açma işlemlerini etkileyecektir. Snowflake, müşterilerin çok faktörlü kimlik doğrulamasını benimsemesi veya kaç müşteri olduğu hakkındaki soruları yanıtlamayı reddetti. şu anda ortamlarına tek faktörlü kimlik doğrulamayla erişiyorlar.
- Snowflake CISO’su Brad Jones Pazartesi günü e-posta yoluyla şunları söyledi: “Amacımız, güçlü kimlik doğrulama seçenekleri sunarak ve eski kimlik doğrulama yöntemlerini ortadan kaldırarak sektör için çıtayı yükselterek müşterilerimizin güvenlik duruşlarının iyileştirilmesine yardımcı olmaktır.”
Dalış Bilgisi:
Snowflake’in şifre politikası değişikliği bir yıl sonra başlayacak Saldırı dalgası 100’den fazla Snowflake müşteri ortamını vurdu MFA ile yapılandırılmamış.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın temel ilkesi olan, yaygın olarak tavsiye edilen güvenlik kontrolü tasarım taahhüdü ile gönüllü güvence altına almaHangi Snowflake Temmuz ayı sonlarında imza attı.
MFA (önceki) yeni oluşturulan tüm Snowflake hesapları için varsayılan olarak etkindir ekim ayında başlıyor.
Snowflake, yeni kimlik doğrulama politikasını CISA’nın tasarım gereği güvenlik taahhüdüne olan bağlılığının bir parçası olarak konumlandırdı.
Varsayılan kimlik doğrulama gereksinimleri üç aşamada gerçekleşecektir:
- Nisan ayında, özelleştirilmiş kimlik doğrulama politikası olmayan hesaplardaki gerçek kullanıcıların, Snowflake’te bir parola kullanarak bir sonraki oturum açışlarında MFA’ya kaydolmaları gerekecek.
- Ağustos ayında Snowflake, mevcut herhangi bir özel kimlik doğrulama politikasına bakılmaksızın, insan kullanıcılar için tüm şifre tabanlı oturum açma işlemleri için MFA’yı gerektirecektir.
- Kasım ayına kadar Snowflake, tek faktörlü kimlik doğrulamayı kullanarak Snowflake’e yapılan tüm şifre tabanlı oturum açma girişimlerini engelleyecektir. Bu, etkileşimli oturum açmayı kullanan tüm insan kullanıcıları ve programlı erişimi kullanan hizmet kullanıcılarını etkileyecektir.
Snowflake, yeni politikanın anahtar çifti kimlik doğrulaması kullanan müşteriler veya açık standart güvenlik onayı işaretleme dili veya OAuth kullanan tek oturum açma kullanıcıları için geçerli olmadığını söyledi.
Snowflake’teki kimlik doğrulama olaylarının çoğu, insan dışı kimliklerle veya programatik erişimle bağlantılıdır ve bu, MFA için uygun değildir. Şirket, müşterilerin kimlik yaşam döngüsü yönetimini daha güçlü bir kimlik doğrulama biçimine tamamen geçirmelerinin genellikle bir yıla kadar sürdüğünü söyledi.
Snowflake müşteri ortamlarını hedef alan ve çalınan kimlik bilgilerinin kullanılmasını içeren saldırılar serisi, önemli miktarda müşteri verisinin çalınmasına ve bunu takip eden gasp girişimlerine yol açtı. A AT&T’nin Snowflake ortamını hedef alan siber saldırı Nisan ayında telekom sağlayıcısının neredeyse tüm kablosuz müşterilerinin verileri tehlikeye girdi.
Temmuz ayına gelindiğinde bulut tabanlı veri ambarı satıcısı, yöneticilerin şunları yapmasına olanak tanıyan yeni bir güvenlik politikası oluşturdu: tüm kullanıcılar veya belirli roller için MFA kurallarını ayarlama. Daha önce Snowflake kullanıcılarının MFA’ya kaydolmaları gerekiyordu.
Snowflake’in MFA kullanımını zorunlu kılmak için izlediği uzun yol, bulut hizmetleri pazarındaki ortak bir eğilimi takip ediyor. Daha gelişmiş kimlik doğrulamaya yönelik acil ihtiyaçlara rağmen şirketler, müşterilere diğer kritik hizmetlerle entegrasyon şekillerinde değişiklik gerektirebilecek teknoloji yığınlarını hazırlamaları ve yeniden yönlendirmeleri için zaman vermek amacıyla aşamalı bir yaklaşım benimsiyor.
En büyük üç bulut sağlayıcısı (AWS, Google Cloud ve Microsoft Azure), 2025’in sonuna kadar müşterilerin bir kısmı veya tamamı için MFA talimatlarını uygulamaya koyacak. Bu talimatların bazıları ciddi anlamda 2023’te başladı.