SaaS-Verletzungen haben im letzten Jahr um das Vierfache zugenommen. Wir haben eine Reihe von Sicherheitsverletzungen erlebt, die große SaaS-Anbieter wie Microsoft und Okta betroffen haben. Snowflake war kürzlich wegen Angriffen auf kundeneigene Systeme in den Nachrichten. Der gemeinsame Nenner dieser Sicherheitsverletzungen ist die Identität. Die Angreifer brechen nicht ein, sie loggen sich ein.
SaaS ist heute ein sehr aktiver Bereich, in dem Angriffe aus dem gesamten Spektrum stattfinden, von gezielten APTs bis hin zu finanziell motivierten Angreifern, und jedes Unternehmen muss sein SaaS-Sicherheitsprogramm sorgfältig überprüfen. Wie bei jeder SaaS-Anwendung sind die Kunden gemeinsam mit dem Anbieter dafür verantwortlich, dass die Daten sicher sind.
Snowflake ist eine wichtige Komponente für viele Unternehmen, denn die Plattform ist das Herzstück von Initiativen zur Datenzusammenarbeit, KI, Personalisierung und Kundenbindung. Die Absicherung dieser geschäftskritischen Infrastruktur gegen Bedrohungen ist von entscheidender Bedeutung, kann aber ohne das erforderliche Fachwissen auch sehr komplex sein.
Wenn Sie einen unbefugten Zugriff auf Ihre Snowflake-Umgebung sofort angehen möchten, lesen Sie unseren begleitenden Blog, in dem sofortige Schritte zur Minimierung der Auswirkungen erörtert werden.
Schritte zur Absicherung Ihrer Snowflake-Umgebungen:
Hier finden Sie Schritte, die Kunden unternehmen können, um die Sicherheit ihrer Snowflake-Instanzen zu gewährleisten.
A) Sichern Sie Identitäten mit Zugriff auf Ihre Snowflake-Umgebung
Konfigurationsabweichungen und überprivilegierte Benutzer sind häufig die Ursache für Sicherheitsverletzungen oder führen zu größeren Auswirkungen von Sicherheitsverletzungen. Tatsächlich ist 1 von 5 SaaS-Verletzungen, die wir beobachten, auf grundlegende Probleme in der Benutzerhaltung zurückzuführen. Bei der jüngsten Sicherheitsverletzung bei Microsoft wurde ein Testkonto für die Kompromittierung genutzt.
Die Sicherstellung des richtigen Schutzes für Ihr Snowflake umfasst mehrere Schritte. Hier sind jedoch 3 entscheidende Schritte:
- Eliminieren Sie Benutzer, die den IdP umgehen. Es gibt nur wenige Gründe für lokalen Zugriff. Überprüfen und eliminieren Sie lokale Zugriffskonten, mit Ausnahme derer, die notwendig sind. Angreifer nutzen den lokalen Zugriff als Backup-Pfad. Daher ist es wichtig, diese zu überwachen.
- Machen Sie die Multi-Faktor-Authentifizierung (MFA) zur Pflicht. Warum sollten Sie das in der heutigen Zeit nicht tun? Stellen Sie sicher, dass alle Benutzer, insbesondere privilegierte Konten, MFA aktiviert haben. Verwenden Sie für alle Dienstkonten Client-ID und Geheimnis – nicht Passwort – für die wenigen legitimen lokalen Konten (z. B. Breakglass-Konten) implementieren Sie die native MFA von Snowflake.
- Es kann auch hilfreich sein, einzuschränken, von wo aus Benutzer auf Ihre Umgebungen zugreifen können. So könnte beispielsweise der Zugriff auf lokale Konten auf Benutzer von bestimmten IP-Adressen oder IP-Bereichen aus beschränkt werden. Definieren Sie Netzwerkrichtlinien, um den Zugriff auf bestimmte IPs oder IP-Bereiche zu beschränken.
B) Beseitigen Sie ungenutzte Identitäten
Inaktive Identitäten sind ein gefundenes Fressen für Angreifer. Identifizieren und eliminieren Sie inaktive Konten – priorisieren Sie zunächst privilegierte Konten.
- PREVENT_UNLOAD_TO_INLINE_URL
- REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION
- REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION
- PREVENT_UNLOAD_TO_INTERNAL_STAGES
Wenn Sie Indikatoren von Ihrem Threat Intelligence Provider haben, können Sie auch nach verdächtigen Aktivitäten in Ihrem Konto suchen.
E) Anpassung an Snowflake CIS-Benchmarks
Ein einfacher Schritt, den Sie zusätzlich zu den oben genannten Maßnahmen ergreifen können, ist die Anpassung an die Snowflake CIS Benchmarks, um unbefugten Zugriff zu verhindern, den Zugriff mit geringsten Rechten durchzusetzen und das Risiko der Datenexfiltration zu verringern.