O Snowflake permite que os administradores tornem o MFA obrigatório em todas as contas de usuários
Um mês após a gigante de resposta a incidentes Mandiant sugerir que a ladainha de roubos de dados vinculados às invasões de contas da Snowflake tinha o componente comum de falta de controles de autenticação multifator (MFA), a empresa de armazenamento em nuvem e análise de dados está oferecendo uma opção obrigatória de MFA aos administradores.
A Snowflake não mencionou a onda de ataques especificamente, mas faz referência ao comprometimento de credenciais com frequência. Para combater isso, uma nova política de autenticação está disponível agora, exigindo que todos os usuários de uma conta Snowflake habilitem o MFA.
Os clientes podem decidir se aplicam a política somente a usuários locais, àqueles que usam single sign-on (SSO) também, ou em uma base de usuário por usuário. A Snowflake não recomenda o último para usuários de serviço, por exemplo, onde OAuth ou autenticação de par de chaves é recomendado, disse.
A disponibilidade geral do Snowflake Trust Center (STC) também foi anunciada simultaneamente – uma estrutura para os clientes monitorarem a conformidade com as políticas do MFA que a Snowflake espera que sejam aplicadas de forma mais ampla.
Incluídos no STC estão dois pacotes que também foram disponibilizados esta semana: o pacote do scanner Security Essentials e o pacote do scanner CIS Benchmarks.
O primeiro trabalha para evitar o roubo de credenciais examinando o grau em que as políticas de MFA e de rede estão sendo adotadas, enquanto o outro avalia a conta de um cliente em relação ao CIS Snowflake Foundations Benchmark, que compreende diretrizes de configurações seguras.
A interface web do Snowflake, o Snowsight, também solicitará que usuários que não habilitaram as políticas de MFA o façam.
“Para ajudar a impulsionar a adoção do MFA, estamos tomando medidas para promover a conformidade individual para usuários do Snowflake”, disse a empresa em um comunicado. postagem de blog.
“A partir de hoje, quando usuários sem MFA fizerem login no Snowsight, eles serão solicitados a habilitar o MFA e guiados pelas etapas de configuração. Este diálogo pode ser descartado, mas reaparecerá em três dias se o MFA não tiver sido configurado para o usuário.”
A solução MFA baseada em aplicativo da Snowflake é alimentada pelo Duo e esta é a única opção para os clientes. O padrão para clientes da Snowflake é habilitar o MFA por usuário, e o MFA ainda não é habilitado por padrão. Está a critério do administrador por enquanto, embora a empresa tenha provocado esta semana que isso deve mudar no futuro para que todos os usuários humanos sejam obrigados a usá-lo.
A parte silenciosa
Os pesquisadores do Hudson Rock foram os primeiros a lançar luz sobre o intrusões na Ticketmaster e no Santander, que foram vinculados às contas da Snowflake no final de maio em um relatório desde que foi retirado depois que os advogados de Snowflake intervieram.
Hudson Rock alegou originalmente que os comprometimentos de dados que potencialmente impactaram milhões de pessoas foram realizados depois que a própria Snowflake foi atacada, e não as contas de clientes individuais — uma alegação que a Snowflake nega veemente e consistentemente.
Floco de neve acabou admitindo que as credenciais de um ex-funcionário foram usadas por um terceiro mal-intencionado para acessar algumas contas de demonstração, mas foi só isso.
Snowflake nega responsabilidade pelos arrombamentos no Santander e Bilheteira Mastero último dos quais ainda enfrenta ameaças contínuas de extorsão do grupo por trás das intrusões. Foram criminosos no Caçadores Brilhantes operação que reivindicou o ataque e, desde então, vazou supostos códigos de barras de grandes eventos apoiados pela gigante da venda de ingressos.
O número de vítimas do Snowflake está em debate. O relatório da Mandiant no início de junho colocou o número em cerca de 165 organizações, mas não está claro se esse número aumentou desde então.
Algumas intrusões surgiram desde que a saga Snowflake começou, como as da concessionária de peças de automóveis americana Advance Auto Parts e da empresa australiana de venda de ingressos Ticketek, mas não citaram explicitamente as contas da Snowflake como fontes. ®