Snowflake, yöneticilerin bir güvenlik açığından sonra tüm kullanıcılar veya belirli roller için çok faktörlü kimlik doğrulamasını zorunlu kılmasına olanak tanıyan yeni bir güvenlik politikası oluşturdu. saldırı dalgası Güvenlik kontrolü yapılmadan 100’den fazla müşteri ortamı hedef alındı.
MFA, yeni oluşturulan tüm Snowflake müşteri hesapları için varsayılan olarak etkinleştirilecektir. CISO Brad Jones Salı günü müşterilerine yazdığı mektupta şöyle dedi.
Bir saldırganın Snowflake demo hesaplarına ve müşteri ortamlarına girmesinden yaklaşık üç ay sonra gelen değişiklik, yöneticilere MFA politikalarını kullanıcı düzeyinde veya sistem genelinde ayarlama esnekliği sağlıyor. Daha önce, Snowflake kullanıcıları kendilerini MFA’ya kaydettirmek zorundaydı.
MFA politikasının uygulamaya konulması, bulut tabanlı veri ambarı sağlayıcısının CrowdStrike ve Mandiant ile yaptığı araştırmaları tamamlamasının ve geçen ay paylaştığı bulguları yeniden teyit etmesinin ardından gerçekleşti.
Jones, “Bu etkinliğin bir güvenlik açığı, yanlış yapılandırma veya Snowflake platformunun ihlali nedeniyle meydana geldiğine dair bir kanıt tespit etmedik” dedi. “Snowflake ortamı güvenli olmaya devam ediyor.”
CrowdStrike, Snowflake’un kurumsal ve üretim varlıklarının tehlikeye atılmadığını, Snowflake’un 25 Haziran’da aldığı ve Salı günü kamuoyuyla paylaştığı soruşturmanın özetinde söyledi. Buna, iş operasyonlarını destekleyen altyapı ve dışa dönük ürün ve hizmetler dahildir.
CrowdStrike, saldırganın 17 Nisan – 24 Mayıs tarihleri arasında eriştiği demo hesaplarının herhangi bir üretim, kurumsal veya müşteri Snowflake ortamıyla ilişkili olmadığını belirtti.
Raporda, “Tehdit aktörü, bilgileri bilgi çalan kötü amaçlı yazılım aracılığıyla edinilen eski bir Snowflake çalışanının demo hesap bilgilerini kullandı” ifadeleri yer aldı. Demo hesapları MFA veya tek oturum açma ile korunmuyordu.
CrowdStrike, eski çalışanın kurumsal dizüstü bilgisayarını analiz etti ve cihazda bilgi çalma amaçlı kötü amaçlı yazılıma dair bir kanıt bulamadı. CrowdStrike, bunun eski çalışanın demo hesabı kimlik bilgilerinin Snowflake olmayan bir varlıktan elde edildiğini gösterdiğini söyledi.
Jones, Cybersecurity Dive’a e-posta yoluyla yaptığı açıklamada, “Bunun, müşteri verilerini elde etme amacıyla devam eden sektör çapındaki kimlik tabanlı saldırıların sonucu olduğuna inanıyoruz.” dedi. “Araştırmalar, bu tür saldırıların, ilgisiz siber tehdit faaliyetleri yoluyla ifşa edilen müşterilerimizin kullanıcı kimlik bilgileriyle gerçekleştirildiğini gösteriyor.”
CrowdStrike, saldırganın ele geçirilen demo hesapları aracılığıyla herhangi bir Snowflake müşteri hesabına veya herhangi bir Snowflake üretim veya kurumsal ortamına erişemediğini doğruladı.
Mandiant’ın 22 Mayıs’ta müşterileri etkileyen geniş kapsamlı bir kampanyayı ilk kez duyurduğu Snowflake, eski çalışanının hesabını 24 Mayıs’ta devre dışı bıraktı.
Mandiant, soruşturmasının bulgularını tamamladı ve yayınladı Snowflake müşteri ortamlarını hedef alan saldırılar 10 Haziran’da.
Snowflake müşteri yöneticileri kontrolleri ele geçiriyor
Snowflake’un MFA politikası, teknoloji sağlayıcılarının yaygın olarak kullanılan bir platformda köklü değişiklikler yaparken karşılaştıkları zorlukları yansıtıyor.
Mevcut Snowflake müşteri hesaplarının yöneticileri hala MFA’dan vazgeçebilirler. Şirket en son çeyreğini 30 Nisan’da 9.822 müşteriyle sonlandırdı.
Şirket, mevcut müşterilerinin MFA’yı benimsemesini sağlamak için ek adımlar atıyor.
Snowflake’a MFA olmadan giriş yapan kullanıcılardan güvenlik kontrolünü etkinleştirmeleri istenecek ve yapılandırma adımları boyunca yönlendirilecekler. Şirket, “Bu iletişim kutusu kapatılabilir, ancak kullanıcı için MFA yapılandırılmamışsa üç gün içinde yeniden görünecektir” dedi.
Şirket ayrıca yöneticilerin MFA’yı uygulamasına, hesaplarının güvenlik ölçütlerine göre kontrol edilmesine ve kullanıcıların güvenlik politikalarına uyumuna ilişkin görünürlük sağlanmasına yardımcı olacak Snowflake Güven Merkezi’ni kurdu.
Snowflake’un Salı günü tanıttığı tarayıcılar, aşırı ayrıcalıklı varlıkları tespit ederek, MFA uyumluluğunu ve ağ politikalarını belirleyerek ve müşterilerinin ortamlarındaki diğer potansiyel güvenlik risklerini belirleyerek kimlik bilgisi hırsızlığı risklerini azaltmak üzere tasarlandı.