Атаки, связанные со Snowflake, проверяют статус-кво общей ответственности в облаке

Важные новости

Назначить ответственность за отсутствие мер безопасности сложно. Бремя является коллективным, но поставщикам облачных услуг необходимо повысить минимальные стандарты, говорят эксперты.

Атаки, связанные со Snowflake, проверяют статус-кво общей ответственности в облаке

Виталий Пасичник/Getty через Getty Изображения

Серия атак как минимум на 100 баз данных клиентов Snowflake, ни одна из которых не была настроена на многофакторную аутентификацию, подчеркивает мутную воду ответственности в облаке.

Когда Snowflake раскрыла серию атак на основе личных данных 30 мая, ориентируясь на среды своих клиентов, компания в основном возложила вину на клиентов, которые не использовали MFA и допустили утечку учетных данных. Поставщик облачного хранилища данных не применяет MFA по умолчанию и не требует от своих клиентов использования этой технологии.

Встроенное в услуги MFA и включенное по умолчанию является краеугольным камнем принципов безопасности Агентства по кибербезопасности и безопасности инфраструктуры.

CISA представила эту инициативу в апреле 2023 года, а в прошлом месяце объявила о добровольных обязательствах десятков крупных технологических компаний перейдут на практику безопасной разработки в следующем году. На сегодняшний день обязательство по обеспечению безопасности подписали 140 компаний, но не Snowflake.

«Идея обещания, обеспечивающего безопасность, просто не должна быть реальностью. Причина, по которой это должно быть так, заключается в том, что компании поступают неправильно», — сказал Честер Вишневски, директор и глобальный технический директор компании Sophos.

«Люди, если у них будет выбор, будут продолжать выбирать неправильные». вещь, — сказал он. «Следует повысить наименьший общий знаменатель безопасности».

Snowflake утверждает общую ответственность, запускает изменения

Snowflake утверждает, что атаки на базы данных клиентов не были вызваны уязвимостью, неправильной настройкой или взломом ее систем. По данным компании и ее фирм по реагированию на инциденты Mandiant и CrowdStrike, причиной, скорее, было использование злоумышленником украденных учетных данных для клиентских систем, незащищенных MFA.

Подход Snowflake к MFA имеет определенные ограничения для ИТ-администраторов. Экземпляр Cisco Duo, которым управляет Snowflake, является единственным решением MFA, доступным его клиентам, и компания не позволяет администраторам применять MFA для определенной роли, согласно странице поддержки MFA компании.

«Это означает, что Snowflake оставляет каждому пользователю право решать, хотят ли они регистрироваться в MFA или нет», — сказал по электронной почте Офер Маор, соучредитель и технический директор Mitiga. «Хотя другие поставщики также могут предлагать возможность запуска без MFA, большинство поставщиков SaaS, развернутых как корпоративное решение, позволяют администраторам применять MFA».

Поскольку на прошлой неделе давление на Snowflake и ее клиентов возросло, директор по информационной безопасности Snowflake Брэд Джонс заявил, что компания разрабатывает план, который потребует от клиентов внедрения расширенных мер безопасности, таких как MFA или сетевые политики.

Детали плана были скудными. , однако, включая то, что именно Snowflake потребует от своих клиентов и включит ли она MFA по умолчанию на своей платформе. Snowflake не ответила на запрос дополнительной информации о своем плане улучшения безопасности.

Параметры MFA применять не требуется

Эксперты по кибербезопасности признают достоинства позиции Snowflake, опирающейся на модель общей ответственности облачного сектора, в которой поставщики защищают базовую инфраструктуру, а клиенты защищают свои данные с помощью правильной конфигурации и управления. Но многие описывают MFA как базовый элемент управления, который расширяет доступ к инфраструктуре предприятия и оказывает значительное влияние на предотвращение атак.

«На каждом шагу, когда вы предоставляете организациям выбор: делать безопасные действия или нет, большой процент из них не собирается поступать правильно», — сказал Вишневски.

«Мы продолжаем позволять люди будут стрелять себе в ногу?» — сказал Вишневский. «Как сотрудник службы безопасности, я инстинктивно говорю «нет». Мы должны убрать возможность причинить себе вред. Если мы дадим вам выбор поступить правильно, а вы не сможете сделать правильный выбор, тогда, возможно, этого выбора больше не должно быть».

Без жестких и быстрых мер. правил, сбалансировать обязанности с этой динамикой — непростая задача.

По мнению Каустубха Медхе, вице-президента по исследованиям и анализу угроз Cyble, возложение слишком большой ответственности на поставщиков технологий может быть чрезмерным исправлением, которое снижает коллективную ответственность всех заинтересованных сторон за поддержание безопасности.

Некоторые поставщики облачных услуг приняли на вооружение взвешенный подход к MFA, делая услуги по умолчанию безопасными, а не удобными по умолчанию, в особенно рискованных сценариях, — сказал Чарли Винклесс, вице-президент аналитик Gartner.

«Подотчетность и ответственность в такой модели лежит на клиенте, но провайдер делает упор не на удобство и скорость, а на безопасность — помогая своему клиенту быть более ответственным», — сказал Винклесс. «Поставщики могут повысить свой авторитет, предоставляя безопасные настройки по умолчанию и помогая клиентам, которые могут не быть специалистами в области безопасности, понять риски, которым они подвергаются».

Минимальные ожидания в отношении мер безопасности быстро меняются, и печальная реальность такова. что учетные данные корпоративных систем без MFA подвергаются серьезной атаке злоумышленников.

В 2023 году злоумышленники использовали скомпрометированные законные учетные данные для получения доступа к средам жертв почти в 40% атак программ-вымогателей, где был определен первоначальный вектор доступа, Mandiant Об этом говорится в отчете об угрозах в этом месяце.

«Мы больше не живем в 2006 году», — сказал Вишневский. «На самом деле нет веской причины, когда вы позволяете людям потенциально хранить невероятно конфиденциальную информацию, и вы не гарантируете, что на этом пути возникнет хотя бы этот «лежачий полицейский».

Новости сегодня

Последние новости