Wir stellen Maßnahmen vor, die dabei helfen das unmittelbare Risiko, das durch den Angriff auf die Snowflake-Umgebung entstanden ist, zu minimieren. Für die Zukunft ist es entscheidend auch die langfristige Sicherheit der Identitäten, nicht nur in den SaaS-Anwendungen im Blick zu haben.
Die Anzahl SaaS-bezogener Sicherheitsvorfälle hat sich im letzten Jahr vervierfacht, wobei eine Reihe von Vorfällen große Anbieter wie Microsoft und Okta betroffen haben. Auch Snowflake, ein amerikanisches Unternehmen, das sich auf Cloud-basierte Datenplattformen spezialisiert hat, war kürzlich aufgrund von Angriffen auf kundeneigene Systeme in den Nachrichten. Da viele Unternehmen die Snowflake-Plattform nutzen, um Datenanalysen durchzuführen, maschinelles Lernen zu unterstützen, personalisierte Kundenerlebnisse zu schaffen und Geschäftsentscheidungen auf der Grundlage von Daten zu treffen, hängen an den Angriffen auch eine Vielzahl betroffener Kunden. Umso wichtiger also den Ursprung und die Sicherheitslücken hinter den Angriffen zu verstehen.
Der gemeinsame Nenner dieser kriminellen Vorfälle ist die Identität oder vielmehr die fehlende Identitätssicherheit, da die Angreifer sich nicht mehr gewaltsam Zugang verschaffen, sondern sich einfach einloggen. SaaS ist mittlerweile ein sehr aktiver Bereich, in dem Attacken über das gesamte Angriffsspektrum hinweg erfolgen – von gezielten Advanced Persistent Threats (APTs) bis hin zu finanziell motivierten Angreifern – und jedes Unternehmen muss sein SaaS-Sicherheitsprogramm sorgfältig überprüfen. Für Snowflake-Nutzer speziell sind folgende Schritte aktuell essenziell.
Schritt 1:
Sofortige Unterbrechung risikoreicher Aktivitäten.
- Potenziell gefährliche Zugänge sperren
Zunächst sollten riskante Zugangspunkte, wie Konten mit lokalem Zugriff, hinter dem jeweiligen Identity Provider (IDP) platziert werden. Angreifer nutzen häufig den lokalen Zugriff als Hintertür in die Systeme. Ungenutzte lokale Zugänge sollten abgeschafft und bestehende gegen moderne Cyberangriffe abgesichert werden – beispielsweise durch Client IDs und Multi-Faktor-Authentifizierung (MFA). Jedoch ist es alarmierend, wie häufig die MFA in Unternehmensnetzwerken fehlt oder nicht entsprechend konfiguriert ist, was Angreifern einen einfachen Zugang ermöglicht.
- Netzwerkrichtlinien überprüfen
Besonders für hochprivilegierte Nutzer und Konten müssen diese Richtlinien kontrolliert werden, um zu verhindern, dass kompromittierte Konten Daten extrahieren können. Ist ein privilegiertes Konto erstmal von Angreifern übernommen, ist der Weg zu sensiblen Daten geebnet.
- Rotieren von Passwörtern und Zugangsdaten
Es ist essenziell, die Passwörter von Benutzern mit lokalem Zugriff regelmäßig zu ändern, insbesondere die von lokalen Konten sollten nach dem kürzlichen Angriff sofort geändert werden, um unbefugten Zugriff zu verhindern. Ebenso ist es wichtig, die Zugangsdaten von Dienstkonten zu aktualisieren. Dabei ist sicherzustellen, dass alle betroffenen Personen und Dienste entsprechend informiert werden.
- Vorübergehende Sperrung neuer Konten und Datenfreigaben
Alle Dienstkonten und Konten, die in den letzten 30 Tagen erstellt wurden, sowie alle Datenfreigaben aus demselben Zeitraum sollten gesperrt werden, es sei denn, es gibt eine dokumentierte Begründung, weshalb diese benötigt werden. So kann unbefugter Zugriff und mögliche Datenexfiltration verhindert werden, da Angreifer sich häufig Konten und Freigaben für dauerhaften Zugang bedienen.
Schritt 2:
Überprüfen und Erkennen, ob das Unternehmen kompromittiert ist.
- Suche nach Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs)
Nachdem potenziell risikobehaftete Aktivitäten gestoppt sind, geht es darum herauszufinden, ob das eigene Unternehmen bereits von Cyberkriminellen infiltriert wurde. Um dies zu erreichen, müssen verdächtige und bekannte IOCs, also Indikatoren, die auf eine Sicherheitsverletzung hinweisen, berücksichtigt werden. Dazu gehört unter anderem die Überprüfung von IP-Adressen, die möglicherweise mit bösartigen Aktivitäten in Verbindung stehen. Ebenso sollten alle Windows-Server-2022-Systeme auf das Vorhandensein bestimmter Software, wie zum Beispiel »rapeflake« oder »DBeaver«, untersucht werden.Um diesen Vorgang zu vereinfachen, hat Snowflake eine detaillierte Liste von IOCs in ihrer Wissensdatenbank veröffentlicht. Nutzer können anhand dieser Liste bekannte Indikatoren für Sicherheitsverletzungen identifizieren und feststellen, ob diese im eigenen Netzwerk vorhanden sind.
Alle Anmeldungen, die in den letzten 30 Tagen nur mit einem Passwort erfolgt sind, sollten überprüft werden. Manche SaaS-Security-Lösungen stellen einfache Abfrageoptionen zur Verfügung, um nach diesen IOCs zu suchen – so können beispielsweise Obsidian-Security-Nutzer folgenden OQL-Ausdruck mit der Plattform verwenden:
event:snowflake.LOGIN AND raw:”FIRST_AUTHENTICATION_FACTOR\”:\”PASSWORD” AND raw:”SECOND_AUTHENTICATION_FACTOR\”:\ null”
Nachdem die im letzten Monat erstellten Konten deaktiviert wurden, erfolgt die Analyse der Kontenaktivitäten. Hierfür gibt es Lösungen, die diesen Schritt erleichtern. So können beispielsweise Obsidian-Security-Nutzer genau diese Aktivitäten filtern und analysieren. Zum Beispiel sollten Abfragen auf sensible Tabellen, das Extrahieren von Daten und das Hinzufügen von Rechten betrachtet werden. Angreifer räumen sich oft selbst zusätzliche Privilegien für die Datenexfiltration und persistenten Zugang ein. Somit sind auch Konten, deren Privilegien erst kürzlich erweitert worden sind sowie neue Datenfreigaben ein Anzeichen für Eindringlinge im System – besonders verdächtig sind sie, wenn sie dem Regex-Muster entsprechen:
^CREATE.*|^APPLY.*|^MANAGE.*|^EXECUTE.*|ATTACH POLICY|IMPORT SHARE|OVERRIDE SHARE RESTRICTIONS|DELETE
Das ist erst der Anfang: Laufende Sicherheit für Snowflake-Umgebungen. Während die genannten Maßnahmen dabei helfen das unmittelbare Risiko, das durch den Angriff auf die Snowflake-Umgebung entstanden ist, zu minimieren, ist es entscheidend für IT-Teams auch die langfristige Sicherheit der SaaS-Anwendung im Blick zu haben. Dazu gehört die Sicherung des Systems, eine klare Steuerung und regelmäßige Kontrolle von Datenflüssen und -bewegungen sowie der Schutz der mit Snowflake verbundenen Identitäten.
Glenn Chisholm ist Co-founder, Chairman and Chief Product Officer bei Obsidian Security. Vor seiner Tätigkeit bei Obsidian war er CTO bei Cylance und leitete die strategische Produktausrichtung des Unternehmens sowie die Forschungs- und Entwicklungsteams. Vor Cylance war er CISO und Director Security Operations bei Telstra, dem führenden Telekommunikationsanbieter in Australien und Asien. Er leitete die Sicherheit der 50 Milliarden Dollar schweren Organisation und ihrer Managed Services- und Verbraucherkunden im gesamten asiatisch-pazifischen Raum.
Illustration: © Nmedia | Dreamstime.com
628 Artikel zu „Sicherheitsvorfälle“
News | Trends 2023 | Trends Security | IT-Security | Tipps
Fehlendes Budget führt zu Cybersicherheitsvorfällen in 18 Prozent der Unternehmen
Ein nicht unerheblicher Teil der Cybersicherheitsvorfälle in Deutschland (18 Prozent) sind auf fehlende Cybersicherheitsinvestitionen zurückzuführen, wie eine aktuelle Umfrage zeigt [1]. Dennoch hält hierzulande die große Mehrheit (79 Prozent) den vorhandenen Etat für ausreichend. Im Europa-Vergleich wird deutlich, dass vor allem die Fertigungsindustrie und kritische Infrastrukturen deswegen mit Sicherheitsvorfällen zu kämpfen haben. Acht von zehn…
Trends 2024 | News | Trends 2023 | Trends Security | IT-Security
Die Cybersicherheitslage in Deutschland: Mehrheit der Unternehmen verschweigt IT-Sicherheitsvorfälle
Lagebericht des BSI: Cybersicherheit in Deutschland »angespannt bis kritisch«, teilweise »besorgniserregend«. Mehrheit der deutschen Unternehmen verschweigt IT-Sicherheitsvorfälle – Angst vor Reputationsschäden groß. TÜV-Verband: Bewusstsein für Cyberangriffe durch Transparenz schärfen und Cyber Resilience Act vorantreiben. Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die Bedrohung durch Cyberangriffe in Deutschland ist so…
News | IT-Security | New Work | Ausgabe 1-2-2023 | Security Spezial 1-2-2023
Digital Workplace – Sicherheitsvorfälle und Rechtsverletzungen vermeiden
News | Business | IT-Security
Unternehmen kämpfen mit unbesetzten IT-Stellen und steigender Zahl an Sicherheitsvorfällen
Vor wenigen Tagen meldete das Statistische Bundesamt: »Unternehmen haben zunehmend Schwierigkeiten bei der Besetzung von IT-Stellen«. So berichtet das Amt, dass mehr als drei Viertel der Unternehmen, die im Jahr 2021 nach IT-Fachkräften suchten, Probleme bei der Stellenbesetzung hatten. Außerdem sorgten IT-Sicherheitsvorfälle 2021 in 15 % der Unternehmen für Probleme – deutlich mehr als drei…
News | Trends 2022 | Trends Security | Industrie 4.0 | IT-Security
94 Prozent der Unternehmen hatten Sicherheitsvorfälle in Produktions-APIs
Mangels eines ganzheitlichen Ansatzes für die API-Sicherheit leiden Unternehmen weiterhin unter Sicherheitsvorfällen und Verstößen während der Laufzeit. Salt Security, das Unternehmen für API-Sicherheit, hat den Salt Labs State of API Security Report, Q3 2022, veröffentlicht. Die neueste Ausgabe des halbjährlich erscheinenden Berichts zeigt, dass 94 Prozent der Umfrageteilnehmer im vergangenen Jahr Sicherheitsprobleme bei Produktions-APIs…
News | IT-Security | Strategien | Tipps
Notfalleingreifteam für Datensicherheitsvorfälle aufbauen
Die Einrichtung eines Emergency-Response-Teams (ERT) ist von entscheidender Bedeutung, bevor ein Cybersicherheitsereignis eintritt – wer zu diesem Team gehören sollte und welche Technologie Unternehmen benötigen. Vor einem Sicherheitsvorfall ist es wichtig, bereits einen Notfallplan zu haben, der ein Team von Hauptakteuren und die erforderlichen Tools enthält, um Unternehmen schnell wieder online zu bringen, erklärt…
News | IT-Security | Tipps | Whitepaper
Studie: Mehr Sicherheitsvorfälle durch mehr Home Office
Forrester-Sicherheitsstudie erkennt steigende Risiken durch coronabedingte Home-Office-Strukturen. Im Auftrag von BeyondTrust hat Forrester Research untersucht, welche Auswirkungen für die IT-Sicherheit durch die großflächige und coronabedingte Umstellung auf Home-Office-Strukturen zu erwarten sind. Im Rahmen der Studie »Evolving Privileged Identity Management (PIM) in the Next Normal« hat Forrester Research dafür im November 2020 insgesamt 320 IT- und…
News | IT-Security | Online-Artikel
Eine gute Frage: Was wäre, wenn jeder für Sicherheitsvorfälle persönlich haften müsste?
Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder Datenverlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen. Einige Fälle…
News | Business | Trends Wirtschaft | Trends Security | Trends 2018 | IT-Security
Sicherheitsvorfälle im Finanzwesen 2018 auf Rekordniveau
Anzahl der Ereignisse nahezu verdreifacht. Über 70 Prozent durch Malware und Hacking verursacht. Massiver Datenverlust im Bankenwesen. Bitglass, Next-Gen CASB-Anbieter, gibt in seinem aktuellen Financial Breach Report 2018 einen Überblick der Sicherheitsvorfälle im Finanzwesen im Zeitraum von Januar bis August diesen Jahres. Mit insgesamt 103 bekannt gewordenen Sicherheitsvorfällen hat sich die Zahl gegenüber dem…
News | Business | Trends Security | Trends Infrastruktur | Cloud Computing | Trends Cloud Computing | Digitalisierung | Trends Geschäftsprozesse | Trends Services | Geschäftsprozesse | Trends 2018 | Infrastruktur | IT-Security | Künstliche Intelligenz | Services | Sicherheit made in Germany
Zwei Drittel der Unternehmen mit IT-Sicherheitsvorfällen
Nur 58 Prozent der Unternehmen in Deutschland verfügen über ein zentrales Konzept und einen Gesamtlösungsansatz bei der Informationssicherheit. Mangelnde Awareness: Mitarbeiter sind eine der wichtigsten Schwachstellen bei IT-Security. Trotz fortschreitender Vernetzung und wachsender Bedrohung bleiben Security-Silos bei der IT-Security bestehen. Unternehmen gehen nach wie vor eher reaktiv (taktisch) denn strategisch bei der IT-Security vor. …
News | Business | Trends Security | Trends Kommunikation | Digitalisierung | Effizienz | IT-Security | Trends 2017 | Kommunikation | Services | Strategien
In zwei von fünf Unternehmen werden Sicherheitsvorfälle vertuscht
Schwachstelle Mensch: 46 Prozent der Cybersicherheitsvorfälle lassen sich auf das Fehlverhalten von Mitarbeitern zurückführen. Mitarbeiter sind eines der größten Cybersicherheitsrisiken für Organisationen. Eine weltweite Studie [1] von Kaspersky Lab zeigt, dass 46 Prozent aller Cybersicherheitsvorfälle von Mitarbeitern verursacht werden. Hinzu kommt: Bei 40 Prozent der weltweit befragten Unternehmen versuchen Mitarbeiter selbst verschuldete Cybersicherheitsvorfälle geheim zu…
News | Business | Trends Security | Digitalisierung | Infrastruktur | IT-Security | Strategien | Tipps | Sicherheit made in Germany
BSI untersucht Auswirkungen von IT-Sicherheitsvorfällen in Deutschland
Im Rahmen einer Studie untersucht das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Auswirkungen von IT-Sicherheitsvorfällen in Deutschland, insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS). Dazu ruft das BSI Unternehmen aus Deutschland, die sich den KRITIS-Sektoren Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen zuordnen, auf, an der Studie…
News | Business | Trends Wirtschaft | Trends Security | Digitalisierung | Trends 2016 | IT-Security
Die Folgekosten von Cybersicherheitsvorfällen
Cybersicherheitsvorfälle kosten große Organisationen 861.000 US-Dollar und mittelständische Unternehmen 86.500 US-Dollar pro Angriff. Während große Unternehmen für einen Cybersicherheitsvorfall durchschnittlich 861.000 US-Dollar aufwenden müssen, beziffern sich die Kosten für mittelständische Unternehmen auf durchschnittlich 86.500 US-Dollar. Dabei hängen die Wiederherstellungskosten in Folge eines Cybersicherheitsvorfalls auch vom Zeitpunkt der Entdeckung ab. Kleine und mittlere Unternehmen kostet die…
News | IT-Security | Tipps
So reagieren Sie auf Sicherheitsvorfälle
Aus Sicht des Datenschutzes Computerspiele sind oft nützlicher, als man zunächst denkt. Sie bieten die Möglichkeit Strategien zu überarbeiten, bestimmte Vorgehensweisen zu testen und sukzessive deren erfolgreiche Umsetzung zu verbessern. Ganz ähnlich verhält es sich mit Notfall- oder Krisenplänen in Sachen IT-Sicherheit. Die mit Cyberangriffen verbundenen Risiken steigen weiter, Entwarnung ist nicht in Sicht. Was…
Ausgabe 7-8-2024 | Security Spezial 7-8-2024 | News | IT-Security
Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheitslandschaft werden«
In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.
Ausgabe 7-8-2024 | News | Business | Effizienz | Tipps | E-Government
Günstige Microsoft-Lizenzen für Behörden – So macht es Germering
Ausgabe 7-8-2024 | News | Business | Digitalisierung | E-Government
Digitalisierung – Wer A sagt, muss auch E-Akte sagen
Ausgabe 7-8-2024 | News | Digitalisierung | IT-Security | Kommunikation
Dokumentenaustausch, Prozessvereinfachung, Rechtssicherheit – Digitalisierung in der Versicherungswirtschaft
Ausgabe 7-8-2024 | News | IT-Security | Services
Der Finanzsektor wird zum Wildnis-Ranger für IT-Sicherheit – Überlebensequipment
Ausgabe 7-8-2024 | News | Business | New Work | Strategien
Fachkräftemangel – KI und Automatisierung bieten eine Lösung: Fehlen IT-Spezialisten – fehlen Umsätze
Der akute Mangel an IT-Fachkräften stellt Deutschland vor erhebliche Herausforderungen. Trotz der fortschreitenden Digitalisierung und der wachsenden Bedeutung von IT-Sicherheit sinkt das Interesse an Informatikstudiengängen seit einigen Jahren kontinuierlich, was die Diskrepanz zwischen Angebot und Nachfrage weiter verschärft [1]. Diese Entwicklung gefährdet nicht nur die Innovationskraft, sondern auch die Wettbewerbsfähigkeit der deutschen Wirtschaft und birgt das Risiko, die dringend benötigte digitale Transformation auszubremsen [2].