Im ersten Halbjahr 2024 kam es zu einigen der größten Datenschutzverletzungen der letzten Jahre. Ihr gemeinsamer Nenner? Kompromittierte Anmeldeinformationen und fehlende MFA. Der bisher bedeutendste Verstoß ist der Snowflake-Verstoß, der seit Mai kontinuierlich einige große Organisationen betrifft. In diesem Artikel konzentrieren wir uns auf einige der am stärksten betroffenen Organisationen und fassen einen anderen – aber ebenso vermeidbaren – Verstoß zusammen.
Snowflake: Die Lieferkette ist nur so stark wie ihr schwächstes Glied
Einer der bisher bemerkenswertesten Verstöße im Jahr 2024 ist der Angriff, der auf die Cloud-Speicherplattform Snowflake abzielte. Tatsächlich war nicht Snowflake selbst das Ziel, sondern vielmehr die Kunden von Snowflake, zu denen unter anderem AT&T, Ticketmaster, Santander Bank und Neiman Marcus gehören.
Wie mehrere Cyber-Nachrichtenagenturen berichteten, war dies ein Lehrbuch Supply-Chain-Angriff. Angreifer verschafften sich über einen kompromittierten Rechner Zugang zu den Kunden von Snowflake, möglicherweise durch Phishing-E-Mails und bösartige Anhänge. Schätzungsweise wurden auf diese Weise mehr als 500 Anmeldeinformationen entdeckt und im Dark Web zum Verkauf angeboten, darunter Benutzernamen, Passwörter und URLs der mit diesen Anmeldeinformationen verknüpften Snowflake-Umgebungen.
Laut WiredIn einigen Fällen nutzten die Angreifer eine kompromittierte Maschine eines Snowflake-Mitarbeiters oder -Auftragnehmers als ersten Einstiegspunkt. In anderen Fällen wurden die von diesen Personen verwendeten Anmeldeinformationen jedoch bereits 2020 gestohlen und verkauft und waren im Jahr 2024 noch gültig.
Ergebnisse der Untersuchung von Snowflake
Der Untersuchung Eine von Snowflake und Mandiant durchgeführte Untersuchung ergab, dass mindestens 79.7 % der von den Angreifern verwendeten Konten bereits Jahre vor dem aktuellen Angriff kompromittiert worden waren und dass ihre Passwörter nie geändert oder rotiert wurden. Die Untersuchung bestätigte auch, dass seit 2020 Hunderte von Anmeldeinformationen von Snowflake-Kunden offengelegt wurden und dass die betroffenen Instanzen keine Zugriffsrichtlinien hatten, die nur den Zugriff von vertrauenswürdigen Standorten aus erlaubten.
Die Untersuchung ergab auch, dass die Angreifer Zugangsdaten erlangten und diese nutzten, um auf Demokonten eines ehemaligen Snowflake-Mitarbeiters zuzugreifen. „Dies scheint eine gezielte Kampagne zu sein, die sich an Benutzer mit Ein-Faktor-Authentifizierung richtet“, bestätigte Brad Jones, CISO von Snowflake. in einer Erklärung, von Snowflake herausgegeben. „Es enthielt keine sensiblen Daten.“
Jones behauptete weiter, dass der „Zugriff möglich war, weil das Demokonto nicht hinter Okta oder MFA stand“ und dass „Demokonten nicht mit den Produktions- oder Unternehmenssystemen von Snowflake verbunden sind“. Er kündigte außerdem an, dass Snowflake „einen Plan entwickelt, der von unseren Kunden die Implementierung erweiterter Sicherheitskontrollen verlangt, wie MFA oder Netzwerkrichtlinien, insbesondere für privilegierte Snowflake-Kundenkonten.
AT&T: Mach mit, bis du es schaffst
ca. 110 Millionen AT&T-Kunden Telefonnummern und Anrufaufzeichnungen wurden über ein AT&T Snowflake-Konto abgerufen. Diese Informationen umfassten die Anzahl der Anrufe und SMS, die Kunden getätigt haben, an welches Ziel und die Dauer jedes Anrufs. Dies bedeutet, dass die Daten auch Informationen über Nicht-AT&T-Kunden enthielten, die am anderen Ende des Anrufs oder der SMS waren. Die Daten wurden nicht weitergegeben oder öffentlich gemacht, und nach einigen Berichten Dies lag daran, dass AT&T nach Verhandlungen mit dem Angreifer angeblich 370,000 Dollar Lösegeld bezahlt hatte.
Es war ein hartes Jahr für AT&T. Nur vier Monate vor Im Zuge des Snowflake-Angriffs wurde eine Datenbank mit mehr als 70 Millionen AT&T-Kunden online geleakt, die Namen, Adressen, Telefonnummern, Sozialversicherungsnummern und Geburtsdaten preisgab. Berichten zufolge wurde die Datenbank 2021 gestohlen und vom Angreifer größtenteils intakt gehalten, bis sie im März dieses Jahres vollständig freigegeben wurde.
Ticketmaster: Noch eine Niete im Schneesturm
Im Mai wurden Daten über 560 Millionen Ticketmaster-Nutzer wurden als gestohlen gemeldet. In Juli schickte das Unternehmen E-Mails an seine Kunden mit der Mitteilung, dass ein nicht autorisierter Benutzer Informationen erlangt hat „aus einer isolierten Cloud-Datenbank von einem Drittanbieter von Datendiensten gehostet“ und dass die Informationen „möglicherweise Ihren Namen, grundlegende Kontaktinformationen und Zahlungskarteninformationen wie verschlüsselte Kredit- oder Debitkartennummern und Ablaufdaten enthalten haben“. Die BBC berichtete, Man habe Ticketmaster gefragt, warum die Benachrichtigung der Kunden so lange gedauert habe, aber keine Antwort erhalten.
Change Healthcare (UnitedHealth Group): Eine Lektion in Identitätshygiene
Im Februar ein Ransomware-Angriff auf Change Healthcare führte zum Diebstahl von 4 TB vertraulicher Daten von bis zu jedem dritten Amerikaner und zu großflächigen Ausfällen in Krankenhäusern, Apotheken und Gesundheitseinrichtungen in den gesamten Vereinigten Staaten.
Obwohl UnitedHealth Group (UHG) ALPHV/Blackcat bezahlte, Ransomware Die Gruppe, die die Verantwortung für den Angriff übernahm, forderte ein Lösegeld von 22 Millionen US-Dollar, um die Löschung der Daten sicherzustellen. Die Gruppe soll die gestohlenen Daten an eine andere Gruppe, RansomHub, weitergegeben haben, die ein weiteres Lösegeld forderte.
Im Rahmen seiner Aussage vor dem Energie- und Handelsausschuss des Repräsentantenhauses bestätigte UHG-CEO Andrew Witty, dass die Angreifer über einen Server ohne MFA auf das Netzwerk zugegriffen haben. Die Angreifer haben entweder Anmeldeinformationen im Darknet gekauft oder Brute-Force-Angriffe eingesetzt, um sich den ersten Zugriff zu verschaffen. In jedem Fall hätte MFA sie aufgehalten. Nachdem sie Zugriff auf das Netzwerk hatten, bewegten sie sich seitlich von einer Maschine zur anderen – und wir alle wissen, wie das endete.
Bewährte Vorgehensweisen zur Schadensbegrenzung
Es gibt bestimmte Vorkehrungen, die Unternehmen treffen können, um solche Verstöße zu mildern und einzudämmen, nämlich ITDR (Erkennung von & Reaktion auf Identitätsbedrohungen (ITDR)) und ISPM (Identity Security Posture Management). Gady Svahjman, Global Threat Hunting Lead bei Silverfort, bietet einige Expertenratschläge:
Entdeckung
- Die Angreifer haben die gestohlenen Anmeldeinformationen wahrscheinlich auf andere Weise als der tatsächliche legitime Benutzer verwendet, beispielsweise zu unterschiedlichen Zeiten, an unterschiedlichen Quell-Geostandorten und auf unterschiedlichen Quell-/Zielcomputern.
- Wären Erkennungs- und Sicherheitsattribute für abnormale Authentifizierungen implementiert worden, hätten die Verstöße erkannt und eine Warnung ausgelöst werden können.
- Konten, die über einen langen Zeitraum ungenutzt blieben, deren Anmeldeinformationen aber plötzlich authentifiziert werden, oder Konten mit Passwörtern, die nicht ablaufen, hätten ebenfalls ein Warnsignal sein sollen. Richtige Risikoindikatoren und Zugriffsrichtlinien würden in solchen Fällen eine Warnung auslösen.
abwehr
- Erkennung allein reicht nicht aus, und Organisationen sollten sich nicht ausschließlich auf Warnmeldungen verlassen. Die Überprüfung Tausender Warnmeldungen täglich ist nicht nachhaltig und eine nachträgliche Erkennung reicht nicht aus.
- Zugriffsrichtlinien hätte den Zugriff aufgrund von Verhaltens- und Musteranalysen verweigern können.
- Das Fehlen von MFA war ein entscheidender Faktor, der es den Angreifern ermöglichte, auf diese Snowflake-Instanzen zuzugreifen und Change Gesundheitswesen Netzwerk.
- Durch die Anforderung mehrerer Faktoren zur Authentifizierung hätten starke MFA-Kontrollen die Angreifer stoppen können. Ihre legitimen Benutzeranmeldeinformationen reichten nicht aus, da sie sich mit einer zusätzlichen Sicherheitsebene auseinandersetzen mussten.
Antwort
- Mauern errichten: Um den Angriff einzudämmen und die Situation nach seiner Entdeckung einzudämmen, sollten Sie als erstes Sicherheitsprinzip Richtlinien erstellen, um jeden Zugriff zu verweigern, der für kritische Geschäftsabläufe nicht erforderlich ist.
- Die Eindämmung kompromittierter Konten und Rechner kann eine vollständige oder nur teilweise Sperrung des Zugriffs auf die Rechner und Konten umfassen, etwa indem nur bestimmten Quellen und Zielen der Zugriff auf die kritische Infrastruktur gestattet wird.
- Wenn Sie Zweifel haben, ob ein Benutzerkonto kompromittiert wurde oder die Organisation dem Benutzer die Weiterarbeit gestatten soll, ist das Zurücksetzen des Kennworts des Benutzers und die Durchsetzung einer Richtlinie, die Vorgänge mit diesem Konto unter Verwendung von MFA erlaubt, eine weitere Option anstelle der Zugriffsverweigerung.
Abschließende Überlegungen
Es ist vielleicht unangenehm, das zuzugeben, aber diese Verstöße hätten verhindert oder zumindest der Schaden auf ein Minimum begrenzt werden können. Alles, was getan werden musste, war, Passwörter zu aktualisieren, MFA zu aktivieren und Zugriffsrichtlinien festzulegen. Das mag einfach klingen, ist aber in Wirklichkeit nicht immer so unkompliziert.
Beispielsweise haben Organisationen, die Verträge mit Dritten abschließen und von diesen Dritten verwaltete Konten verwenden, nur sehr eingeschränkt die Möglichkeit, die Berechtigungen der Konten zu überprüfen oder überhaupt festzustellen, ob diese noch aktiv sind.
Von der Entdeckung bis zur Eindämmung, Identitätssicherheit ist ein Zyklus. Koordination und Vereinheitlichung sind erforderlich, ebenso wie eine ständige Anstrengung, den Überblick zu behalten. Diese Verstöße haben nicht nur Kreditkartennummern, persönliche medizinische Informationen und Anruflisten von Millionen von Kunden offengelegt – sie haben auch gezeigt, wie wenig wir über Identitätssicherheit wissen und wie wenig wir uns dafür einsetzen, im Vergleich dazu, wie wichtig sie wirklich ist.