2024 m. birželio mėn. paaiškėjo reikšmingas duomenų pažeidimas, susijęs su Snowflake, pirmaujančia debesų duomenų saugojimo ir analizės teikėja. Šis incidentas paveikė daugybę aukšto lygio įmonių ir milijonus asmenų, todėl kilo susirūpinimas dėl duomenų saugumo debesijos aplinkoje. „Snowflake“ pažeidimas pabrėžia, kaip svarbu didinti ir tobulinti duomenų saugos sprendimus debesų aplinkoje, pvz., įdiegti patikimas saugos priemones, reguliariai atnaujinti kredencialus ir nuolat stebėti debesimis pagrįstus sistemas. Šiame straipsnyje nuodugniai nagrinėjamas „Snaigės“ pažeidimas, jo poveikis ir išmoktos pamokos.
Kas yra Snaigės pažeidimas
„Snowflake“ duomenų pažeidimas buvo serija tikslinių atakų prieš kelis „Snowflake“ klientų atvejus. Kibernetinio saugumo įmonė, tirianti incidentą kartu su Snowflake, nustatė finansiškai motyvuotą grėsmės veikėjų grupę,veiksmai sekami kaip UNC5537.
Kas yra UNC5537
UNC5537 yra tai, kaip „Mandiant“ seka kenkėjišką veiklą, susijusią su viena grėsmės veikėjų grupe, nukreipta į „Snowflake“ duomenų bazės klientus. Šie kibernetiniai nusikaltėliai specializuojasi vogdami neskelbtinus duomenis iš organizacijų, naudojančių „Snowflake“ debesyje pagrįstą duomenų saugyklos platformą. Jų pagrindinis metodas apimapasinaudojant pažeistais kredencialaisgautas iš infostealer kenkėjiškų programų.UNC5537 kampanija kelia didelę grėsmęorganizacijoms, kurios naudojasi „Snowflake“ duomenų saugojimu ir valdymu. Jų gebėjimas išnaudoti pažeistus kredencialus ir apeiti MFA pabrėžia itin svarbių patikimų saugumo priemonių, įskaitant tvirtą slaptažodžių higieną, MFA diegimą ir nuolatinį įtartinos veiklos stebėjimą, svarbą.
Kaip įvyko Snaigės pažeidimas?
UNC5537 pasiekė „Snowflake“ klientų egzempliorius naudodamas pavogtus kredencialus ir paskyras, kuriose trūksta kelių veiksnių autentifikavimo (MFA). Šie kredencialai pirmiausia buvo gauti per įvairias informacijos vagysčių kenkėjiškų programų kampanijas, kurios užkrėtė ne „Snowflake“ priklausančias sistemas. Kai kurie pavogti kredencialai datuojami 2020 m., todėl pabrėžiama ilgalaikė rizika, kad prisijungimo informacija bus pažeista. Trys pagrindiniai veiksniai lėmė daugybę sėkmingų kompromisų:
- Daugiafaktorio autentifikavimo (MFA) trūkumas paveiktose paskyrose
- Naudojami pasenę kredencialai, kurie buvo pavogti prieš daugelį metų
- Tinklo nebuvimas leidžia sąrašams apriboti prieigą prie patikimų vietų
Patekęs į Snowflake duomenų bazę, UNC5537 naudoja pasirinktinį įrankį, pavadintą „rapeflake“, kad galėtų atlikti žvalgybą ir potencialiai išnaudoti pažeidžiamumą. Tada jie išfiltruoja didelius duomenų kiekius naudodami SQL komandų seriją. Pavogę duomenis, grėsmės veikėjai vykdo turto prievartavimą, reikalaudami iš savo aukų išpirkos. Be to, jie dažnai parduoda pavogtus duomenis elektroninių nusikaltimų forumuose, siekdami pelno.
Aukšto lygio „Snowflake“ duomenų pažeidimo aukos
Snaigė tapo gerai žinomu atveju, nes nuo jo nukentėjo kelios įmonės, įskaitant„Ticketmaster“ duomenų pažeidimas, vienas reikšmingiausių pažeidimų 2024 m.Atsisakymas:Svarbu pažymėti, kad susiję pažeidimai nebuvo patvirtinti iki šio straipsnio paskelbimo.
Bilietų meistras
Patvirtino „Ticketmaster“ pagrindinė įmonė „Live Nation“.neteisėta prieiga prie trečiosios šalies debesų duomenų bazės aplinkoskuriuose daugiausia yra „Ticketmaster“ duomenų. Pažeidimas galėjo paveikti 560 mln. klientų.
Santander bankas
Santander paskelbė apie neteisėtą prieigą prie duomenų bazės, kurią priglobia trečiosios šalies teikėjas, ir tai paveikė maždaug 30 milijonų klientų.
AT&T
AT&Tatskleidė, kad beveik visų jos mobiliojo ryšio klientų skambučių ir žinučių įrašai nuo 2022 m. gegužės 1 d. iki 2022 m. spalio 31 d. ir 2023 m. sausio 2 d. buvo pažeisti. Šis pažeidimas paveikė apie 110 mln. klientų.
Išplėstinės automobilių dalys
Išplėstinės automobilių dalyspranešė, kad nuo 2024 m. balandžio 14 d. iki gegužės 24 d. dėl neteisėtos prieigos prie jos „Snowflake“ aplinkos buvo atskleista daugiau nei 2,3 mln.
Snaigės atsakymas
„Snowflake“ teigia, kad incidentai kilo dėl pažeistų vartotojo kredencialų, o ne dėl paties „Snowflake“ produkto būdingų pažeidžiamumų ar trūkumų. Bendrovė dirbo su paveiktais klientais ir pateikė išsamias aptikimo ir sugriežtinimo gaires.
Skaityti daugiau:„Facebook“ duomenų pažeidimas: kaip sužinoti, ar esate paveiktas
Išmoktos pamokos ir geriausia kibernetinio saugumo praktika
Po kiekvieno duomenų pažeidimo išmokstama naujų pamokų. Tačiau senos žmogiškosios klaidos išlieka, o tai padidina tikimybę, kad grėsmės subjektams pavyks sėkmingai atlikti savo ieškojimus. Snaigės pažeidimas mus moko, kaip svarbu taikyti keletą pagrindinių kibernetinio saugumo sprendimų. Norėdami pagerinti duomenų saugumą, vartotojai ir įmonės gali naudoti šiuos sprendimus.
Įgalinti kelių veiksnių autentifikavimą (MFA)
Vienas iš įėjimo taškų pažeidimo metu buvo silpni įgaliojimai be MFA metodo. MFA įdiegimas papildo saugumo lygį, todėl neteisėta prieiga tampa sudėtingesnė, nes paskyros savininkas turi įgalioti bet kokią naują prieigą.
Reguliarus kredencialų kaitaliojimas
Seni kredencialai palengvino kibernetinių nusikaltėlių prieigą prie vartotojų paskyrų, todėl buvo pažeisti duomenys. Norėdami to išvengti, reguliariai atnaujinkite ir keiskite kredencialus, ypač paskyrų, turinčių didelius leidimus.
Stebėkite įtartiną veiklą
Peržiūrėkite vykdomų užklausų žurnalus, ypač tas, kurios susijusios su išorine prieiga prie duomenų arba gali atskleisti neskelbtiną informaciją.
Taikykite nulinio pasitikėjimo politiką
Kad išvengtumėte neteisėtos prieigos visame tinkle, galite užtikrinti, kad kiekvienas jūsų personalo asmuo turėtų prieigą tik prie būtinos informacijos, kad galėtų atlikti savo kasdienes užduotis.
