Sicherung Ihrer Snowflake-Umgebungen

15. Mai 2025

SaaS-Verletzungen haben im letzten Jahr um das Vierfache zugenommen. Wir haben eine Reihe von Sicherheitsverletzungen erlebt, die große SaaS-Anbieter wie Microsoft und Okta betroffen haben. Snowflake war kürzlich wegen Angriffen auf kundeneigene Systeme in den Nachrichten. Der gemeinsame Nenner dieser Sicherheitsverletzungen ist die Identität. Die Angreifer brechen nicht ein, sie loggen sich ein.

SaaS ist heute ein sehr aktiver Bereich, in dem Angriffe aus dem gesamten Spektrum stattfinden, von gezielten APTs bis hin zu finanziell motivierten Angreifern, und jedes Unternehmen muss sein SaaS-Sicherheitsprogramm sorgfältig überprüfen. Wie bei jeder SaaS-Anwendung sind die Kunden gemeinsam mit dem Anbieter dafür verantwortlich, dass die Daten sicher sind.

Snowflake ist eine wichtige Komponente für viele Unternehmen, denn die Plattform ist das Herzstück von Initiativen zur Datenzusammenarbeit, KI, Personalisierung und Kundenbindung. Die Absicherung dieser geschäftskritischen Infrastruktur gegen Bedrohungen ist von entscheidender Bedeutung, kann aber ohne das erforderliche Fachwissen auch sehr komplex sein.

Wenn Sie einen unbefugten Zugriff auf Ihre Snowflake-Umgebung sofort angehen möchten, lesen Sie unseren begleitenden Blog, in dem sofortige Schritte zur Minimierung der Auswirkungen erörtert werden.

Schritte zur Absicherung Ihrer Snowflake-Umgebungen:

Hier finden Sie Schritte, die Kunden unternehmen können, um die Sicherheit ihrer Snowflake-Instanzen zu gewährleisten.

A) Sichern Sie Identitäten mit Zugriff auf Ihre Snowflake-Umgebung

Konfigurationsabweichungen und überprivilegierte Benutzer sind häufig die Ursache für Sicherheitsverletzungen oder führen zu größeren Auswirkungen von Sicherheitsverletzungen. Tatsächlich ist 1 von 5 SaaS-Verletzungen, die wir beobachten, auf grundlegende Probleme in der Benutzerhaltung zurückzuführen. Bei der jüngsten Sicherheitsverletzung bei Microsoft wurde ein Testkonto für die Kompromittierung genutzt.

Die Sicherstellung des richtigen Schutzes für Ihr Snowflake umfasst mehrere Schritte. Hier sind jedoch 3 entscheidende Schritte:

Eliminieren Sie Benutzer, die den IdP umgehen. Es gibt nur wenige Gründe für lokalen Zugriff. Überprüfen und eliminieren Sie lokale Zugriffskonten, mit Ausnahme derer, die notwendig sind. Angreifer nutzen den lokalen Zugriff als Backup-Pfad. Daher ist es wichtig, diese zu überwachen.
Machen Sie die Multi-Faktor-Authentifizierung (MFA) zur Pflicht. Warum sollten Sie das in der heutigen Zeit nicht tun? Stellen Sie sicher, dass alle Benutzer, insbesondere privilegierte Konten, MFA aktiviert haben. Verwenden Sie für alle Dienstkonten Client-ID und Geheimnis – nicht Passwort – für die wenigen legitimen lokalen Konten (z. B. Breakglass-Konten) implementieren Sie die native MFA von Snowflake.
Es kann auch hilfreich sein, einzuschränken, von wo aus Benutzer auf Ihre Umgebungen zugreifen können. So könnte beispielsweise der Zugriff auf lokale Konten auf Benutzer von bestimmten IP-Adressen oder IP-Bereichen aus beschränkt werden. Definieren Sie Netzwerkrichtlinien, um den Zugriff auf bestimmte IPs oder IP-Bereiche zu beschränken.

B) Beseitigen Sie ungenutzte Identitäten

Inaktive Identitäten sind ein gefundenes Fressen für Angreifer. Identifizieren und eliminieren Sie inaktive Konten – priorisieren Sie zunächst privilegierte Konten.

C) Steuerung der Datenbewegungen innerhalb der Snowflake-Umgebungen

Daten sind das Herzstück von Snowflake. Die Verwaltung von Datenbewegungen ist wichtig, um die Wertschöpfung zu ermöglichen, aber ebenso wichtig ist es, die Exfiltration von Daten zu verhindern (MITRE ATT&CK TA0010). Ein Mitarbeiter kann unwissentlich (oder wissentlich, wenn ein Angriff mit gestohlenen Anmeldedaten erfolgt) Daten an einen Ort exportieren, der von den Sicherheitsteams des Unternehmens nicht genehmigt wurde.

Unternehmen können und sollten den Datenexport von ihren Konten auf externe Cloud-Speicher und interne Speicherorte beschränken und auch die Speicherorte für den Datenexport über Snowflake-Parameter auf Kontoebene festlegen, z. B:

PREVENT_UNLOAD_TO_INLINE_URL
REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION
REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION
PREVENT_UNLOAD_TO_INTERNAL_STAGES

D) Überwachung und Schutz von Benutzern mit Zugriff auf Snowflake

Härtung und Prävention sind der erste Schritt zur Gewährleistung der Sicherheit Ihrer Snowflake-Umgebungen. Sie minimieren das Risiko von Sicherheitsverletzungen. Genauso wichtig ist es jedoch für Unternehmen, die Benutzer mit Zugriff zu überwachen. Dazu gehören die Verhinderung von Spearphishing-Bedrohungen, die auf Snowflake-Administratoren und -Benutzer abzielen, und die Überwachung dieser Benutzerkonten auf ungewöhnliche Aktivitäten.

Wenn Sie Indikatoren von Ihrem Threat Intelligence Provider haben, können Sie auch nach verdächtigen Aktivitäten in Ihrem Konto suchen.

E) Anpassung an Snowflake CIS-Benchmarks

Ein einfacher Schritt, den Sie zusätzlich zu den oben genannten Maßnahmen ergreifen können, ist die Anpassung an die Snowflake CIS Benchmarks, um unbefugten Zugriff zu verhindern, den Zugriff mit geringsten Rechten durchzusetzen und das Risiko der Datenexfiltration zu verringern.

Nächste Schritte

SaaS-Anwendungen sind nicht statisch. Sie ändern sich – Anwendungen werden weiterentwickelt, Konfigurationen ändern sich, Identitäten werden eingeführt und Angreifer ändern ihre Muster. Ihr Programm muss kontinuierlich sein, um mit Ihren SaaS-Anwendungen Schritt zu halten. Mit anderen Worten: Sie brauchen eine Automatisierung, um dies für alle Ihre SaaS-Anwendungen zu skalieren.

Obsidian hat mehreren Unternehmen geholfen, ihre Arbeitsabläufe zu automatisieren und die Sicherheit ihrer Snowflake-Umgebungen zu gewährleisten. Wenn Sie mehr darüber erfahren möchten, wie Obsidian Ihnen helfen kann, oder wenn Sie eine Bewertung Ihrer Snowflake-Bereitstellung wünschen, kontaktieren Sie uns noch heute.

By Rajeev Raghunarayan and Chris Fuller

Quelle: Obsidian Security-Blog

Teile diesen Beitrag: