为了应对最近针对客户的一波攻击,Snowflake 引入了新的身份验证产品,使管理员能够要求对所有用户帐户进行 MFA。
Snowflake 在最近几周一波客户遭受身份攻击后,在其平台上引入了新的 MFA 执行选项。
5月下旬,这家云存储和分析巨头证实,一个威胁行为者被追踪,因为UNC5537对其一些数据库客户使用了被盗的凭据。云安全供应商Mitiga发布了围绕该活动的初步研究,该公司表示,UNC5537正在使用一种定制的攻击工具,主要针对未启用MFA的特定客户。
6 月初,Snowflake 与 Mandiant 和 CrowdStrike 一起发表了一份联合声明,他们正在协助供应商进行事件响应,称这三家公司没有发现任何证据表明漏洞或配置错误被利用作为活动的一部分,或者发生了对 Snowflake 平台的破坏。
此外,该声明还声称,UNC5537的活动使用了通过信息窃取恶意软件购买或获得的被盗凭据来针对单一身份验证用户。当时,Snowflake敦促客户对所有账户实施MFA,并设置网络策略规则来控制用户流量。
自Snowflake披露以来的几周内,许多违规行为与UNC5537的攻击有关,包括针对Ticketmaster,桑坦德银行,Neiman Marcus以及最近的AT&T的攻击。
为了遏制进一步的活动并防止将来发生类似的活动,Snowflake 于 7 月 9 日推出了一些功能,使客户管理员能够强制执行 MFA。Snowflake 首席信息安全官 Brad Jones 和 Snowflake 首席产品经理 Anoosh Saboori 在一篇博客文章中表示,该公司将提示用户设置 MFA,使管理员能够默认执行安全性,并使客户能够监控用户对 MFA 执行策略的遵守情况。
“很快,Snowflake 将要求对新创建的 Snowflake 帐户中的所有人类用户进行 MFA,”Jones 和 Saboori 写道。“我们建议所有客户现在开始使用 MFA 身份验证策略和信任中心来准备他们的环境,并关注未来几个月的其他功能。”
TechTarget Editorial 询问 Snowflake 为什么该公司选择不全面强制执行 MFA,但一位发言人拒绝置评。AWS 和 GitHub 等一些公司已经推出了强制性的 MFA 要求,以保护客户账户免受基于身份的攻击。
证书生命周期管理供应商Sectigo的产品高级副总裁Jason Soroko表示,由于多种原因,Snowflake可以使该功能部分可选,其中最主要的是用户体验。
Soroko 说:“优先考虑用户体验,他们可能旨在确保易于访问,同时最大限度地减少用户的登录摩擦。“在安全性与市场对简单性和易用性的需求之间取得平衡可能会影响他们的决定,因为他们试图在满足用户偏好的同时保持竞争力。”
分析师和专家参与其中
TechTarget企业战略集团高级分析师Todd Thiemann表示,Snowflake的新启用功能是“朝着正确的安全方向迈出的一大步”,他预计其他云服务也将采取类似的步骤。
“MFA是可用的最有效的安全控制措施之一,更多的组织应该默认启用MFA,”他说。“Snowflake 以前将 MFA 作为选择加入功能提供,并且没有提示用户注册 MFA。用户必须导航到深埋在 Snowflake 用户界面中的帐户设置才能启用 MFA。我不认为 Snowflake 是唯一一个采取这种方法的人,但他们从造成的损害中吸取了教训。
Forrester Research 副总裁兼研究总监 Merritt Maxim 告诉 TechTarget Editory,看到组织将 MFA 作为可选而不是强制性的,“有时仍然令人沮丧”。但他承认,由于它创造了不理想的用户体验,许多组织选择将 MFA 设为可选的,但强烈推荐。
“我们知道,从风险回报的角度来看,实施 MFA 是您可以进行的最佳安全投资之一,以保护自己免受黑客攻击。它不能完全防止黑客攻击,但它是一种已知且经过验证的阻止攻击的机制,“马克西姆说。“为了让它成为可选的,而不是强迫入学,这是向前迈出的一步,但有点倒退了半步。”
同样,趋势科技(Trend Micro)的“零日计划”(Zero Day Initiative)威胁意识主管达斯汀·柴尔兹(Dustin Childs)表示,“每当你把安全选择留给管理员时,他们可能会选择易用性而不是安全性。
“如果你要实施 MFA,它应该是强制性的,而不是可选的。因为如果你让它成为可选的,它很可能会保持关闭状态,“柴尔兹说。
作者:亚历山大·库拉菲(Alexander Culafi)
