Incidente na Snowflake expõe novo cenário de ataques por credenciais válidas, alerta Cisco Talos

Em artigo publicado no blog do laboratório de Threat Intel, ressalta-se que o cenário de ciberameaças está ampliando o uso de credenciais válidas de terceiros para roubar dados das empresas. Para responder a esse cenário, o Head de Outreach da companhia, Nick Biasini, orienta ampliar massivamente o MFA e investir em análise de comportamento do usuário

Compartilhar:

A violação da plataforma de dados em nuvem Snowflake, em junho desse ano, é um exemplo de que as organizações precisam priorizar a proteção dos dados e levar controles mais robustos de acesso até a entrada de organizações terceiras. Essa percepção foi divulgada por um artigo recente publicado pela Cisco Talos, ao tratar da percepção de aumento dos ataques baseados em credenciais válidas.

 

Na ocasião, cibercriminosos obtiveram credenciais de login roubadas de contas da Snowflake, adquiridas por malware infoestealer e as usaram para infiltrar-se nas contas de clientes da empresa de nuvem para obter informações sensíveis. Isso foi possível porque os dados não estavam protegidos por autenticação multifatorial (MFA).

 

De acordo com o Head de Outreach da Cisco Talos, Nick Biasini, este incidente é indicativo de uma mudança maior que a Cisco Talos tem observado no cenário de ameaças, mais concentrada na identidade. Hoje, há um ecossistema pujante de crimes cibernéticos baseado na venda de infostealers e brokers de acesso inicial para comprometer acessos e usá-los para atacar mais empresas.

 

“Não é necessariamente um meio mais rentável de ataque, mas é mais eficiente devido à longevidade da presença em um ambiente protegido. Além disso, em casos como o relatado na Snowflake, um agente hostil com acesso válido pode apenas testar aquela identidade extraviando os dados sem precisar escalar privilégios ou bloquear sistemas, aumentando as chances de sucesso”, explica Biasini em entrevista à Security Report.

 

A análise da Cisco Talos também acompanha algumas das descobertas apontadas no reporte “Year in Review 2023”, apresentada no começo desse ano pela organização. À época, organizações criminosas maiores estavam focando suas operações na exfiltração dos dados e extorsão de empresas, enquanto os grupos menores utilizavam as informações roubadas para mirar pequenos e médios negócios.

 

Nesse sentido, incidentes como o da Snowflake podem ser passos inicial para novas perdas de dados em empresas que tinham na companhia uma parceira terceirizada. “Esta não é uma exceção, mas um sintoma de novo cenário. É provável que novos ataques como esse aconteçam no futuro, em que as informações de outras companhias arquivadas em plataformas de data analytics se tornam alvos pela falta de controles básicos como senhas fortes e diversidade nos meios de autenticação”, acrescenta o especialista.

 

MFA e análise comportamental

Nick Biasini comenta que essa é a oportunidade para o mercado auditar a localização dos próprios dados e buscar novos métodos de proteger tais ativos, em uma ação preditiva de combate a esses tipos de risco. Considerando que ações de infostealers requerem respostas imediatas, buscar uso de autenticações múltiplas e não estáticas, indo além das senhas, são passos cruciais para esse futuro.

 

“De uma forma geral, usar MFA em todos os acessos possíveis é algo que pode ser aplicado por todo o mercado imediatamente. Mas caso a capacidade de investimento em SI permita, a organização pode investir na análise de contexto da atividade dos usuários na rede, pois detectar anomalias no comportamento de um usuário pode expor um cibercriminoso ainda inativo”, complementa o Head de Outreach.

 

Conteúdos Relacionados

Security Report | Destaques

Prefeitura de Guajará-Mirim sofre invasão cibernética

Em nota, o executivo municipal confirmou que dados foram sequestrados pelo ataque, mas não comprovou a ação de um ransomware,...
Security Report | Destaques

Líderes de Cyber analisam novas ameaças à Segurança no Security Leaders Nacional

O Fórum Econômico Mundial alertou o mundo para as ameaças que a insegurança cibernética pode representar para a continuidade de...
Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...