A violação da plataforma de dados em nuvem Snowflake, em junho desse ano, é um exemplo de que as organizações precisam priorizar a proteção dos dados e levar controles mais robustos de acesso até a entrada de organizações terceiras. Essa percepção foi divulgada por um artigo recente publicado pela Cisco Talos, ao tratar da percepção de aumento dos ataques baseados em credenciais válidas.
Na ocasião, cibercriminosos obtiveram credenciais de login roubadas de contas da Snowflake, adquiridas por malware infoestealer e as usaram para infiltrar-se nas contas de clientes da empresa de nuvem para obter informações sensíveis. Isso foi possível porque os dados não estavam protegidos por autenticação multifatorial (MFA).
De acordo com o Head de Outreach da Cisco Talos, Nick Biasini, este incidente é indicativo de uma mudança maior que a Cisco Talos tem observado no cenário de ameaças, mais concentrada na identidade. Hoje, há um ecossistema pujante de crimes cibernéticos baseado na venda de infostealers e brokers de acesso inicial para comprometer acessos e usá-los para atacar mais empresas.
“Não é necessariamente um meio mais rentável de ataque, mas é mais eficiente devido à longevidade da presença em um ambiente protegido. Além disso, em casos como o relatado na Snowflake, um agente hostil com acesso válido pode apenas testar aquela identidade extraviando os dados sem precisar escalar privilégios ou bloquear sistemas, aumentando as chances de sucesso”, explica Biasini em entrevista à Security Report.
A análise da Cisco Talos também acompanha algumas das descobertas apontadas no reporte “Year in Review 2023”, apresentada no começo desse ano pela organização. À época, organizações criminosas maiores estavam focando suas operações na exfiltração dos dados e extorsão de empresas, enquanto os grupos menores utilizavam as informações roubadas para mirar pequenos e médios negócios.
Nesse sentido, incidentes como o da Snowflake podem ser passos inicial para novas perdas de dados em empresas que tinham na companhia uma parceira terceirizada. “Esta não é uma exceção, mas um sintoma de novo cenário. É provável que novos ataques como esse aconteçam no futuro, em que as informações de outras companhias arquivadas em plataformas de data analytics se tornam alvos pela falta de controles básicos como senhas fortes e diversidade nos meios de autenticação”, acrescenta o especialista.
MFA e análise comportamental
Nick Biasini comenta que essa é a oportunidade para o mercado auditar a localização dos próprios dados e buscar novos métodos de proteger tais ativos, em uma ação preditiva de combate a esses tipos de risco. Considerando que ações de infostealers requerem respostas imediatas, buscar uso de autenticações múltiplas e não estáticas, indo além das senhas, são passos cruciais para esse futuro.
“De uma forma geral, usar MFA em todos os acessos possíveis é algo que pode ser aplicado por todo o mercado imediatamente. Mas caso a capacidade de investimento em SI permita, a organização pode investir na análise de contexto da atividade dos usuários na rede, pois detectar anomalias no comportamento de um usuário pode expor um cibercriminoso ainda inativo”, complementa o Head de Outreach.
