En azından bir saldırı patlaması 100 Snowflake müşteri veri tabanıbunların tümü yapılandırılmamış çok faktörlü kimlik doğrulama,buluttaki sorumluluğun bulanık sularını vurguluyor.
Snowflake dizisini açıkladığında Müşterilerinin ortamlarını hedef alan kimlik tabanlı saldırılar 30 Mayıs’ta şirket suçu çoğunlukla MFA kullanmayan ve kimlik bilgilerini sızdıran müşterilere yükledi. Bulut tabanlı veri ambarı satıcısı, MFA’yı varsayılan olarak zorunlu kılmaz veya müşterilerinin teknolojiyi kullanmasını zorunlu kılmaz.
MFA’nın tasarım gereği hizmetlere yerleşik olması ve varsayılan olarak açık olması Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın tasarım gereği güvenli ilkelerinin temel taşıdır.
CISA girişimi açıkladı Nisan 2023’te ve geçen ay açıklandı Düzinelerce büyük teknoloji şirketinin gönüllü taahhütleri gelecek yıl güvenli geliştirme uygulamalarını benimsemek. Tasarım gereği güvenlik taahhüdü verildi 140 şirket imza attı bugüne kadar ama Snowflake değil.
“Tasarım gereği güvenli bir taahhüt fikri kesinlikle bir şey olmamalı. Bunun bir şey olmasının nedeni şirketlerin doğru şeyi yapmamasıdır” dedi. Chester Wisniewski, Sophos’un direktörü ve küresel saha CTO’su.
“İnsanlara seçim şansı verildiğinde yanlış şeyi seçmeye devam edecekler” dedi. “Güvenliğin en düşük ortak paydası artırılmalı.”
Snowflake ortak sorumluluğu öne sürüyor, değişiklikleri harekete geçiriyor
Snowflake, müşterilerin veritabanlarına yapılan saldırıların bir güvenlik açığından, yanlış yapılandırmadan veya sistemlerindeki ihlalden kaynaklanmadığını söylüyor. Şirkete ve olaya müdahale firmaları Mandiant ve CrowdStrike’a göre bunun nedeni, saldırganın MFA tarafından korunmayan müşteri sistemleri için çalıntı kimlik bilgilerini kullanmasıydı.
Snowflake’in MFA’ya yaklaşımı, BT yöneticileri için doğası gereği sınırlamalar taşıyor. Snowflake tarafından yönetilen Cisco Duo örneği, müşterilerinin kullanabileceği tek MFA çözümüdür ve şirket, yöneticilerin belirli bir rol için MFA’yı zorunlu kılmasına izin vermemektedir. MFA destek sayfası.
“Bu, Snowflake’in MFA’ya kaydolmak isteyip istemediğine karar verme yetkisini her kullanıcıya bıraktığı anlamına geliyor.” Ofer Maor, Mitiga’nın kurucu ortağı ve CTO’su, e-posta yoluyla söyledi. “Diğer satıcılar da MFA olmadan başlama olanağı sunsa da çoğu SaaS satıcısı kurumsal bir çözüm olarak dağıtıldıktan sonra yöneticilerin MFA’yı zorunlu kılmasına izin veriyor.”
Gibi Snowflake ve müşterileri üzerindeki baskı arttı geçen hafta, Kar Tanesi CISO Brad Jones şirketin müşterilerin MFA veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamasını zorunlu kılacak bir plan geliştirdiğini söyledi.
Ancak Snowflake’in müşterilerinden tam olarak ne isteyeceği ve platformunda MFA’yı varsayılan olarak açıp açmayacağı da dahil olmak üzere planın ayrıntıları yetersizdi. Snowflake, güvenlik iyileştirme planına ilişkin ek bilgi talebine yanıt vermedi.
MFA seçeneklerinin geçerli olması gerekmez
Siber güvenlik uzmanları, Snowflake’in, satıcıların temel altyapıyı koruduğu ve müşterilerin verilerini uygun yapılandırma ve yönetimle güvence altına aldığı bulut sektörünün ortak sorumluluk modeliyle desteklenen konumunun değerini kabul ediyor. Ancak çoğu kişi MFA’yı kurumsal altyapıya erişimi destekleyen ve saldırıları engellemede önemli bir etki yaratan temel bir kontrol olarak tanımlıyor.
Wisniewski, “Her köşede, kuruluşlara güvenli olanı yapıp yapmama konusunda bir seçenek verdiğinizde, onların büyük bir yüzdesi doğru şeyi yapamayacaktır” dedi.
“İnsanların kendilerini ayaklarından vurmalarına izin vermeye devam edecek miyiz?” Wisniewski dedi. “Bir güvenlik görevlisi olarak içgüdüm hayır demek. Kendinize zarar verme seçeneğini ortadan kaldırmalıyız. Size doğru şeyi yapma seçeneğini verirsek ve siz de doğru şeyi yapmayı seçemiyor gibi görünürseniz, o zaman belki de bu artık bir seçim olmamalıdır.”
Katı ve kesin kurallar olmadan sorumlulukları bu dinamiklerle dengelemek zor bir iştir.
Teknoloji satıcılarına çok fazla sorumluluk yüklemek, tüm paydaşların güvenliği sağlama konusunda sahip olduğu kolektif sorumluluğu azaltan aşırı bir düzeltme olabilir. Cyble’ın araştırma ve tehdit istihbaratından sorumlu başkan yardımcısı Kaustubh Medhe’ye.
Bazı bulut sağlayıcılarının, özellikle riskli senaryolarda hizmetleri varsayılan olarak uygun değil, varsayılan olarak güvenli hale getirerek MFA’ya ölçülü bir yaklaşım benimsediği belirtildi. Charlie Winckless, Gartner’ın başkan yardımcısı analisti.
Winckless, “Böyle bir modelde sorumluluk ve sorumluluk müşteriye aittir, ancak sağlayıcı kolaylık ve hıza değil güvenliğe odaklanıyor ve müşterilerinin daha sorumlu olmasına yardımcı oluyor” dedi. “Sağlayıcılar, güvenli temerrütler sağlayarak ve güvenlik uygulayıcısı olmayan müşterilerin maruz kaldıkları riskleri anlamalarına yardımcı olarak güvenilirliklerini artırabilir.”
Güvenlik kontrollerine ilişkin minimum beklentiler hızla değişiyor ve ne yazık ki gerçek şu ki, MFA’sız kurumsal sistemlere ait kimlik bilgileri, saldırganlar tarafından yoğun bir şekilde hedefleniyor.
2023 yılında saldırganlar güvenliği ihlal edilmiş yasal kimlik bilgilerini kullandı Mandiant, bu ay bir tehdit istihbaratı raporunda, fidye yazılımı saldırılarının neredeyse %40’ında, ilk erişim vektörünün belirlendiği kurban ortamlarına erişim elde etmenin mümkün olduğunu söyledi.
Wisniewski, “Artık 2006’da yaşamıyoruz” dedi. “İnsanların potansiyel olarak inanılmaz derecede hassas bilgileri depolamasına izin verirken, en azından yolda bir hız tümseğinin olmasını garantilememenizin gerçekten iyi bir nedeni yok.”