Na semana passada, a notória gangue de hackers ShinyHunters enviou ondas de choque por todo o mundo ao supostamente saquear 1,3 terabytes de dados de 560 milhões de usuários do Ticketmaster. Esta violação colossal, com um preço de 500.000 dólares, poderia expor as informações pessoais de uma grande parte da clientela da empresa de eventos ao vivo, desencadeando uma tempestade de preocupação e indignação.
Uma violação massiva de dados
Vamos revisar os fatos. A Reside Nation confirmou oficialmente a violação em um documento 8-Ok enviado à SEC. De acordo com o documento divulgado em 20 de maio, a empresa “identificou atividades não autorizadas em um ambiente de banco de dados em nuvem de terceiros contendo dados da empresa”, principalmente da subsidiária Ticketmaster. O processo afirma que a Reside Nation lançou uma investigação e está cooperando com as autoridades policiais. Até agora, a empresa não acredita que a violação terá um impacto materials nas suas operações comerciais.
Vale ressaltar que o mesmo grupo de hackers também oferece dados supostamente do Santander. Segundo as alegações, os dados roubados contêm informações confidenciais pertencentes a milhões de funcionários e clientes do Santander. O banco confirmou que “um banco de dados hospedado por um provedor terceirizado” foi acessado, resultando em vazamentos de dados de clientes no Chile, Espanha e Uruguai, bem como de todos os atuais e alguns ex-funcionários do Santander.
A conexão na nuvem
O que pode ligar estas duas violações é a empresa de dados em nuvem Snowflake, que conta entre os seus utilizadores tanto o Santander como a Reside Nation/Ticketmaster. A Ticketmaster confirmou que o banco de dados roubado foi hospedado pela Snowflake.
Snowflake publicou um aviso com a CISA, indicando um “aumento recente na atividade de ameaças cibernéticas visando contas de clientes em sua plataforma de dados em nuvem”. Snowflake emitiu uma recomendação para que os usuários consultassem os logs do banco de dados em busca de atividades incomuns e conduzissem análises adicionais para evitar o acesso não autorizado de usuários.
Em um comunicado separado, o CISO da Snowflake, Brad Jones, deixou claro que o sistema Snowflake em si não foi violado. De acordo com Jones, “esta parece ser uma campanha direcionada a usuários com autenticação de fator único”, e os agentes da ameaça aproveitaram credenciais obtidas anteriormente por meio de vários métodos.
Snowflake também listou algumas recomendações para todos os clientes, como impor autenticação multifator (MFA) em todas as contas, configurar regras de política de rede para permitir acesso ao ambiente de nuvem apenas a partir de locais confiáveis predefinidos e redefinir e alternar credenciais do Snowflake.
Simplificando a segurança cibernética
Tendemos a romantizar a segurança cibernética – e é uma disciplina incrivelmente difícil e complexa em TI. No entanto, nem todos os desafios de cibersegurança são igualmente difíceis. A orientação oferecida pela Snowflake realmente deixa claro este ponto: o MFA é obrigatório. É uma ferramenta incrivelmente eficaz contra uma série de ataques cibernéticos, incluindo preenchimento de credenciais.
Uma pesquisa feita pela empresa de segurança em nuvem Mitiga afirma que os incidentes do Snowflake fazem parte de uma campanha em que um agente de ameaça está usando credenciais roubadas de clientes para atingir organizações que usam bancos de dados Snowflake. De acordo com a pesquisa publicada, “o ator da ameaça explorou principalmente ambientes sem autenticação de dois fatores”, e os ataques normalmente se originaram de IPs VPN comerciais.
As políticas são tão eficazes quanto a sua implementação e execução. Tecnologias como logon único corporativo (SSO) e MFA podem estar em vigor, mas não serem verdadeiramente aplicadas em todos os ambientes e usuários. Não deve haver possibilidade de que os usuários ainda possam se autenticar usando nome de usuário/senha fora do SSO para acessar qualquer recurso corporativo. O mesmo se aplica à MFA: em vez do auto-registro, deveria ser obrigatório para todos os usuários em todos os sistemas e todos os ambientes, incluindo serviços de nuvem e de terceiros.
Você está no controle whole?
Não há nuvem – é apenas o computador de outra pessoa, como diz o velho ditado. E embora você (e sua organização) desfrutem de muito acesso aos recursos desse computador, em última análise, esse acesso nunca é completo, uma limitação inerente à computação em nuvem. As tecnologias de nuvem multilocatário alcançam economias de escala ao limitar o que um único cliente pode fazer naquele “computador”, e isso às vezes inclui a capacidade de implementar segurança.
Um caso em questão é a rotação automática de senha. Ferramentas modernas de gerenciamento de acesso privilegiado, como One Id Safeguard, podem alternar senhas após o uso. Isso os torna efetivamente de uso único e imuniza o ambiente contra ataques de preenchimento de credenciais, mas também contra ameaças mais sofisticadas, como keyloggers, que foram usados no hack do LastPass. No entanto, a API que fornece esse recurso precisa estar presente. O Snowflake fornece a interface para atualizar as senhas dos usuários, portanto, cabia ao cliente usá-lo e alternar as senhas com base no uso ou no tempo.
Ao escolher onde hospedar dados críticos para os negócios, certifique-se de que a plataforma ofereça essas APIs por meio de gerenciamento de identidades privilegiadas e permita que você coloque o novo ambiente sob o guarda-chuva de segurança corporativa. MFA, SSO, rotação de senha e registro centralizado devem ser requisitos básicos nesse cenário de ameaças, pois esses recursos permitem que o cliente proteja os dados.
A identidade não humana
Um aspecto único da tecnologia moderna é a identidade não humana. Por exemplo, ferramentas RPA (automação de processos robóticos) e também contas de serviço são confiáveis para executar algumas tarefas no banco de dados. Proteger essas identidades é um desafio interessante, já que mecanismos fora de banda, como notificações push ou tokens TOTP, não são viáveis para casos de uso de contas de serviço.
Contas não humanas são alvos valiosos para invasores, pois geralmente possuem permissões muito poderosas para executar suas tarefas. Proteger suas credenciais deve ser sempre uma prioridade para as equipes de segurança. Snowflake usa uma infinidade de contas de serviço para operar a solução e desenvolveu uma série de postagens no weblog sobre como proteger essas contas e suas credenciais.
É tudo uma questão de custo
Os cibercriminosos têm uma lógica brutalmente simples: maximizar o lucro automatizando ataques em massa e atingir grandes grupos de vítimas com métodos simples, mas eficazes. Os ataques de preenchimento de credenciais, como o tipo de ataque usado contra locatários do Snowflake, são um dos métodos de ataque mais baratos – o equivalente em 2024 ao spam de e-mail. E em linha com o seu baixo custo, deveria ser quase 100% ineficaz. O facto de pelo menos duas grandes organizações terem perdido uma quantidade significativa de dados críticos pinta um quadro desolador do nosso estado precise de segurança cibernética world.
Conclusão
Ao implementar controles simples como SSO, MFA e rotação de senhas, o custo de ataques em grande escala torna-se proibitivo. Embora isso não signifique que os ataques direcionados não serão bem-sucedidos ou que os ataques de ameaças persistentes avançadas (APTs) sem fins lucrativos serão completamente dissuadidos, isso torna inviáveis os ataques em massa a esse vetor de ataque, deixando todos um pouco mais seguros.
