Vorige week veroorzaakte de beruchte hackersbende ShinyHunters schokgolven over de hele wereld door naar verluidt 1,3 terabyte aan gegevens van 560 miljoen Ticketmaster-gebruikers te plunderen. Deze kolossale inbreuk, waaraan een prijskaartje van $ 500.000 hangt, zou de persoonlijke informatie van een groot deel van de klantenkring van het live-evenementenbedrijf kunnen onthullen, wat een vuurstorm van bezorgdheid en verontwaardiging zou veroorzaken.
Een enorm datalek
Laten we de feiten eens bekijken. Live Nation heeft de inbreuk officieel bevestigd in een 8-K-aanvraag bij de SEC. Volgens het document dat op 20 mei werd vrijgegeven, identificeerde het bedrijf “ongeautoriseerde activiteiten binnen een clouddatabaseomgeving van derden die bedrijfsgegevens bevatte”, voornamelijk van de dochteronderneming van Ticketmaster. De ingediende claims Live Nation heeft een onderzoek gestart en werkt samen met de wetshandhaving. Tot nu toe gelooft het bedrijf niet dat de inbreuk een materiële impact zal hebben op zijn bedrijfsactiviteiten.
Het is opmerkelijk dat dezelfde groep hackers ook gegevens aanbiedt die zogenaamd afkomstig zijn van Santander. Volgens de claims bevatten de gestolen gegevens vertrouwelijke informatie van miljoenen medewerkers en klanten van Santander. De bank bevestigde dat er toegang was tot “een database gehost door een externe provider”, wat resulteerde in datalekken voor klanten in Chili, Spanje en Uruguay, evenals voor alle huidige en enkele voormalige werknemers van Santander.
De cloudverbinding
Wat deze twee inbreuken met elkaar zou kunnen verbinden is het clouddatabedrijf Snowflake, dat zowel Santander als Live Nation/Ticketmaster tot zijn gebruikers rekent. Ticketmaster bevestigde wel dat de gestolen database werd gehost door Snowflake.
Snowflake publiceerde wel een waarschuwing bij CISA, die duidde op een “recente toename van cyberdreigingsactiviteiten gericht op klantaccounts op zijn clouddataplatform.” Snowflake heeft gebruikers aanbevolen om de databaselogboeken te doorzoeken op ongebruikelijke activiteiten en verdere analyses uit te voeren om ongeautoriseerde gebruikerstoegang te voorkomen.
In een afzonderlijk communiqué maakte Brad Jones, CISO van Snowflake, duidelijk dat het Snowflake-systeem zelf niet was geschonden. Volgens Jones “lijkt dit een gerichte campagne gericht op gebruikers met single-factor authenticatie”, en hebben bedreigingsactoren gebruik gemaakt van inloggegevens die eerder via verschillende methoden waren verkregen.
Snowflake heeft ook enkele aanbevelingen voor alle klanten op een rij gezet, zoals het afdwingen van multi-factor authenticatie (MFA) op alle accounts, het instellen van netwerkbeleidsregels om alleen toegang tot de cloudomgeving toe te staan vanaf vooraf ingestelde vertrouwde locaties, en het resetten en roteren van Snowflake-inloggegevens.
Vereenvoudiging van cyberbeveiliging
We hebben de neiging om cybersecurity te romantiseren – en het is een ongelooflijk moeilijke en complexe discipline in de IT. Niet alle uitdagingen op het gebied van cyberbeveiliging zijn echter even moeilijk. De begeleiding van Snowflake maakt dit punt duidelijk: MFA is een must. Het is een ongelooflijk effectief hulpmiddel tegen een reeks cyberaanvallen, waaronder het opvullen van inloggegevens.
Onderzoek uitgevoerd door het cloudbeveiligingsbedrijf Mitiga beweert dat de Snowflake-incidenten deel uitmaken van een campagne waarbij een bedreigingsacteur gestolen klantgegevens gebruikt om organisaties aan te vallen die gebruik maken van Snowflake-databases. Volgens het gepubliceerde onderzoek “maakte de bedreigingsacteur voornamelijk gebruik van omgevingen zonder tweefactorauthenticatie”, en waren de aanvallen doorgaans afkomstig van commerciële VPN-IP's.
Beleid is slechts zo effectief als de implementatie en handhaving ervan. Technologieën als single sign-on (SSO) en MFA zijn weliswaar aanwezig, maar worden niet echt in alle omgevingen en gebruikers afgedwongen. Er mag geen mogelijkheid zijn dat gebruikers zich buiten SSO nog kunnen authenticeren met gebruikersnaam/wachtwoord om bedrijfsbronnen te bereiken. Hetzelfde geldt voor MFA: in plaats van zelfinschrijving zou het verplicht moeten zijn voor alle gebruikers op alle systemen en alle omgevingen, inclusief cloud- en services van derden.
Heeft u de volledige controle?
Er is geen cloud; het is gewoon de computer van iemand anders, zoals het oude gezegde luidt. En hoewel u (en uw organisatie) veel toegang hebt tot de bronnen van die computer, is die toegang uiteindelijk nooit volledig, een beperking die inherent is aan cloud computing. Multi-tenant cloudtechnologieën realiseren schaalvoordelen door te beperken wat een enkele klant op die “computer” kan doen, en dat omvat soms ook de mogelijkheid om beveiliging te implementeren.
Een voorbeeld hiervan is de automatische wachtwoordrotatie. Moderne tools voor beheer van geprivilegieerde toegang, zoals One Identity Safeguard, kunnen wachtwoorden na gebruik uitsluiten. Dit maakt ze effectief voor eenmalig gebruik en immuniseert de omgeving tegen credential stuffing-aanvallen, maar ook tegen meer geavanceerde bedreigingen zoals keyloggers, die werden gebruikt bij de LastPass-hack. De API die deze functie biedt, moet echter aanwezig zijn. Snowflake biedt wel een interface om gebruikerswachtwoorden bij te werken, dus het was aan de klant om deze te gebruiken en wachtwoorden te rouleren op basis van gebruik of tijd.
Wanneer u kiest waar u bedrijfskritische gegevens wilt hosten, zorg er dan voor dat het platform deze API's biedt via geprivilegieerd identiteitsbeheer en u in staat stelt de nieuwe omgeving onder uw bedrijfsbeveiligingsparaplu te brengen. MFA, SSO, wachtwoordrotatie en gecentraliseerde logboekregistratie zouden allemaal basisvereisten moeten zijn in dit dreigingslandschap, omdat deze functies de klant in staat stellen de gegevens aan zijn kant te beschermen.
De niet-menselijke identiteit
Een uniek aspect van moderne technologie is de niet-menselijke identiteit. Er worden bijvoorbeeld RPA-tools (robotische procesautomatisering) en ook serviceaccounts vertrouwd om bepaalde taken in de database uit te voeren. Het beschermen van deze identiteiten is een interessante uitdaging, omdat out-of-band mechanismen zoals pushmeldingen of TOTP-tokens niet haalbaar zijn voor gebruiksscenario's van serviceaccounts.
Niet-menselijke accounts zijn waardevolle doelwitten voor aanvallers, omdat ze doorgaans over zeer krachtige machtigingen beschikken om hun taken uit te voeren. Het beschermen van hun inloggegevens moet altijd een prioriteit zijn voor beveiligingsteams. Snowflake gebruikt een groot aantal serviceaccounts om de oplossing te bedienen en heeft een reeks blogposts ontwikkeld over hoe deze accounts en hun inloggegevens kunnen worden beschermd.
Het draait allemaal om de kosten
Cybercriminelen hebben een brutaal eenvoudige logica: maximaliseer de winst door massa-aanvallen te automatiseren en richt zich op grote groepen slachtoffers met eenvoudige maar effectieve methoden. Credential stuffing-aanvallen zijn, net als het type aanval dat tegen Snowflake-tenants wordt gebruikt, een van de goedkoopste aanvalsmethoden: het equivalent van e-mailspam uit 2024. En in overeenstemming met de lage kosten zou het bijna 100% ineffectief moeten zijn. Het feit dat ten minste twee grote organisaties een aanzienlijke hoeveelheid cruciale gegevens zijn kwijtgeraakt, schetst een somber beeld van onze huidige staat van mondiale cyberbeveiliging.
Conclusie
Door eenvoudige controles zoals SSO, MFA en wachtwoordrotatie te implementeren, worden de kosten van grootschalige aanvallen onbetaalbaar. Hoewel dit niet betekent dat gerichte aanvallen niet zullen slagen of dat aanvallen door geavanceerde persistente bedreigingen (APT's) zonder winstoogmerk volledig zullen worden afgeschrikt, maakt het massale aanvallen op deze aanvalsvector wel onhaalbaar, waardoor iedereen een beetje veiliger wordt.