In der vergangenen Woche erschütterte die berüchtigte Hackerbande ShinyHunters die Welt, indem sie angeblich 1,3 Terabyte Daten von 560 Millionen Ticketmaster-Nutzern stahl. Dieses enorme Datenleck, das mit 500.000 US-Dollar bewertet wurde, könnte die persönlichen Informationen eines riesigen Teils der Kundschaft des Live-Event-Unternehmens offenlegen und eine Welle der Besorgnis und Entrüstung auslösen.
Ein massives Datenleck
Lassen Sie uns die Fakten durchgehen. Live Nation hat das Datenleck offiziell in einer 8-K-Meldung an die SEC bestätigt. Laut dem am 20. Mai veröffentlichten Dokument „wurde unbefugte Aktivität in einer Datenbankumgebung eines Drittanbieters mit Firmendaten“ festgestellt, hauptsächlich von der Tochtergesellschaft Ticketmaster. Die Meldung besagt, dass Live Nation eine Untersuchung eingeleitet und mit den Strafverfolgungsbehörden zusammenarbeitet. Derzeit glaubt das Unternehmen nicht, dass das Leck erhebliche Auswirkungen auf seine Geschäftstätigkeit haben wird.
Bemerkenswert ist, dass dieselbe Hackergruppe auch Daten angeblich von Santander anbietet. Laut den Angaben enthält die gestohlene Datenbank vertrauliche Informationen von Millionen Santander-Mitarbeitern und -Kunden. Die Bank bestätigte, dass „eine von einem Drittanbieter gehostete Datenbank“ zugänglich war, was zu Datenlecks für Kunden in Chile, Spanien und Uruguay sowie für alle aktuellen und einige ehemaligen Santander-Mitarbeiter führte.
Die Verbindung zur Cloud
Was diese beiden Datenlecks miteinander verbinden könnte, ist das Cloud-Datenunternehmen Snowflake, das sowohl Santander als auch Live Nation/Ticketmaster zu seinen Nutzern zählt. Ticketmaster bestätigte, dass die gestohlene Datenbank bei Snowflake gehostet wurde.
Snowflake veröffentlichte eine Warnung bei CISA und wies auf eine „letzte Zunahme der Cyberbedrohungsaktivitäten, die Kundenkonten auf seiner Cloud-Datenplattform betrifft“ hin. Snowflake empfahl den Nutzern, die Datenbankprotokolle auf ungewöhnliche Aktivitäten zu durchsuchen und weitere Analysen durchzuführen, um unbefugten Zugriff zu verhindern.
In einer separaten Mitteilung machte Snowflake-CISO Brad Jones deutlich, dass das Snowflake-System selbst nicht kompromittiert wurde. Laut Jones „scheint es sich um eine gezielte Kampagne gegen Benutzer mit Einfaktor-Authentifizierung“ zu handeln, bei der Angreifer Anmeldeinformationen aus verschiedenen Quellen verwendet haben.
Snowflake gab auch Empfehlungen für alle Kunden, wie die Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für alle Konten, die Einrichtung von Netzwerkpolicys, um den Zugang zur Cloud-Umgebung nur von vordefinierten vertrauenswürdigen Standorten zu erlauben, und das Zurücksetzen und Rotieren von Snowflake-Anmeldeinformationen.
Cybersecurity vereinfachen
Wir neigen dazu, Cybersecurity zu romantisieren – und es ist eine unglaublich schwierige und komplexe Disziplin in der IT. Nicht alle Cybersecurity-Herausforderungen sind jedoch gleich schwierig. Die von Snowflake angebotenen Richtlinien verdeutlichen dies: MFA ist ein Muss. Es ist ein äußerst effektives Werkzeug gegen eine Reihe von Cyberangriffen, einschließlich Credential Stuffing.
Forschungen des Cloud-Sicherheitsunternehmens Mitiga behaupten, dass die Snowflake-Vorfälle Teil einer Kampagne sind, bei der ein Bedrohungsakteur gestohlene Kundenanmeldeinformationen verwendet, um Organisationen zu treffen, die Snowflake-Datenbanken nutzen. Laut der veröffentlichten Forschung „exploitierten die Bedrohungsakteure hauptsächlich Umgebungen ohne Zwei-Faktor-Authentifizierung“, und die Angriffe stammten typischerweise von kommerziellen VPN-IP-Adressen.
Richtlinien sind nur so effektiv wie ihre Umsetzung und Durchsetzung. Technologien wie unternehmensweites Single Sign-On (SSO) und MFA könnten vorhanden sein, werden jedoch nicht überall und für alle Umgebungen und Benutzer wirklich durchgesetzt. Es sollte keine Möglichkeit geben, dass Benutzer sich weiterhin mit Benutzernamen/Passwort außerhalb des SSO authentifizieren können, um auf jede unternehmensweite Ressource zuzugreifen. Dasselbe gilt für MFA: Anstatt Selbstregistrierung sollte es für alle Benutzer in allen Systemen und Umgebungen, einschließlich Cloud- und Drittanbieterdiensten, obligatorisch sein.
Haben Sie die volle Kontrolle?
Es gibt keine Cloud – es ist nur der Computer eines anderen, wie das alte Sprichwort sagt. Und während Sie (und Ihre Organisation) viel Zugriff auf die Ressourcen dieses Computers haben, ist dieser Zugang letztendlich nie vollständig, eine inhärente Einschränkung der Cloud-Computing. Multi-Tenant-Cloud-Technologien erzielen Skaleneffekte, indem sie einschränken, was ein einzelner Kunde auf diesem „Computer“ tun kann, und das umfasst manchmal auch die Fähigkeit, Sicherheit zu implementieren.
Ein Beispiel dafür ist die automatische Passwortrotation. Moderne privilegierte Zugriffsverwaltungstools wie One Identity Safeguard können Passwörter nach der Nutzung rotieren. Dadurch sind sie effektiv Einweg-Passwörter und immunisieren die Umgebung gegen Credential Stuffing-Angriffe, aber auch gegen raffiniertere Bedrohungen wie Keylogger, die im LastPass-Hack verwendet wurden. Die API, die diese Funktion bereitstellt, muss jedoch vorhanden sein. Snowflake stellt die Schnittstelle zur Aktualisierung von Benutzerpasswörtern bereit, sodass es an den Kunden lag, sie zu nutzen und Passwörter auf Basis der Nutzung oder zeitbasiert zu rotieren.
Wenn Sie entscheiden, wo Sie geschäftskritische Daten hosten, stellen Sie sicher, dass die Plattform diese APIs über privilegierte Identitätsverwaltung anbietet und es Ihnen ermöglicht, die neue Umgebung unter Ihrem Unternehmenssicherheitsnetz zu bringen. MFA, SSO, Passwortrotation und zentrale Protokollierung sollten in dieser Bedrohungslandschaft grundlegende Anforderungen sein, da diese Funktionen es dem Kunden ermöglichen, die Daten auf seiner Seite zu schützen.
Die nicht-menschliche Identität
Ein einzigartiger Aspekt moderner Technologie ist die nicht-menschliche Identität. Zum Beispiel werden RPA (Robotic Process Automation)-Tools und auch Dienstkonten vertraut, um bestimmte Aufgaben in der Datenbank auszuführen. Der Schutz dieser Identitäten ist eine interessante Herausforderung, da Auslagerungsmechanismen wie Push-Benachrichtigungen oder TOTP-Token für Dienstkonten nicht praktikabel sind.
Nicht-menschliche Konten sind wertvolle Ziele für Angreifer, da sie normalerweise sehr mächtige Berechtigungen haben, um ihre Aufgaben auszuführen. Der Schutz ihrer Anmeldeinformationen sollte immer eine Priorität für Sicherheitsteams sein. Snowflake verwendet eine Vielzahl von Dienstkonten, um die Lösung zu betreiben, und entwickelte eine Reihe von Blog-Beiträgen, wie man diese Konten und ihre Anmeldeinformationen schützt.
Es geht ums Geld
Cyberkriminelle haben eine brutal einfache Logik: Maximieren Sie den Gewinn, indem Sie Massenangriffe automatisieren und große Opfergruppen mit einfachen, aber effektiven Methoden ins Visier nehmen. Credential Stuffing-Angriffe, wie der Typ von Angriff, der gegen Snowflake-Mieter verwendet wurde, ist eine der billigsten Angriffsarten – das Äquivalent des Jahres 2024 zu E-Mail-Spam. Und im Einklang mit seinen niedrigen Kosten sollte es fast 100% unwirksam sein. Die Tatsache, dass mindestens zwei große Organisationen eine beträchtliche Menge an wichtigen Daten verloren haben, zeichnet ein düsteres Bild von unserem derzeitigen Zustand der globalen Cybersicherheit.
Fazit
Durch die Implementierung einfacher Kontrollen wie SSO, MFA und Passwortrotation wird die Kosten großer Angriffe prohibitiv. Das bedeutet zwar nicht, dass gezielte Angriffe nicht erfolgreich sein werden oder Angriffe durch nicht-profit-orientierte fortgeschrittene persistent Bedrohungen (APTs) vollständig abgeschreckt werden, es macht jedoch Massenangriffe auf diesen Angriffsfokus unpraktisch und macht jeden ein wenig sicherer.