암호는 죽었다. Long Live 암호 키 및 MFA.
지금쯤은 아시겠지만, Snowflake Inc.(NYSE: Snow )는 지난 주 Live Nation Entertainment(Ticketmaster)가 2024년 5월 31일, 제3자 클라우드 데이터베이스의 무단 활동에 관한 8-K 서류 뒷면에 기사를 실었습니다. 이 게시물을 시작하려면 Edgio는이 공격의 영향을 받지 않았습니다. 그러나 이 공격이 미치는 영향의 폭을 고려할 때, 일부 사람들은 이를 “세계 최대 규모의 데이터 유출”이라고 보고하고 있기 때문에 주의하는 것이 중요합니다.
스노우플레이크는 누구인가?
처음부터 시작합시다, Snowflake Inc는 누구입니까? Snowflake는 클라우드에서 저장, 처리 및 분석을 모두 수행할 수 있는 데이터 플랫폼입니다. 그들은 작년 한 해 동안 Capital One에서 Ticketmaster, DoorDash에 이르기까지 모든 산업 분야의 고객들과 함께 자사의 플랫폼을 활용해 성장해 왔습니다.
“AI 데이터 클라우드를 지원하는 단일 글로벌 플랫폼. Snowflake는 모든 유형 또는 규모의 데이터와 다양한 워크로드에 걸쳐 전 세계 비즈니스를 연결하고 원활한 데이터 협업을 실현하도록 독특하게 설계되었습니다.” ~ https://www.snowflake.com/en/data-cloud/platform/
우리는 무엇을 알고 있습니까?
Ticketmaster가 타사 클라우드 데이터베이스 제공업체에 저장된 데이터베이스 레코드의 무단 액세스 및 유출에 대한 개요를 설명하는 8-K 파일을 작성했을 때 이러한 침해는 실제로 주류에 부딪혔습니다. 그 제공자는 Snowflake였으며 손상된 데이터베이스는 56억 개 이상의 레코드로 구성되었습니다. Snowflake는 CrowdStrike and Mandiant와의 공동 성명을 통해 고객들에게 이것이 플랫폼의 침해가 아니라 고객들이 MFA(Multi-Factor Authentication)를 사용하여 사용자를 보호하지 않고 Snowflake 고객을 겨냥한 공격적인 공격을 감행한 결과라고 확신시켰습니다. 이 공격은 또한 Santander Bank에 영향을 미쳤으며, 2024년 5월 14일 타사 데이터베이스에 대한 무단 액세스를 보고했습니다. 더 나아가, 이 공격이 아직 공개적으로 명명되지 않은 다른 여러 회사에 영향을 미쳤다는 우려가 있습니다.
Snowflake의 조사 과정에서 이전 직원의 자격 증명이 손상되었지만 해당 계정은 데모 데이터에만 액세스할 수 있다는 사실을 발견했습니다. 이 계정은 MFA로 보호되지 않았습니다.
타임라인:
- 2024년 5월 14일 – Santander Bank는 제3자 데이터베이스의 손상에 대해 언급한 성명을 발표합니다.
- 2024년 5월 20일 – Ticketmaster가 타사 데이터베이스에 대한 무단 액세스를 감지합니다.
- 2024년 5월 23일 – Santander Bank 데이터가 다크 웹에 게시됨.
- 2024년 5월 27일 – 티켓마스터 데이터가 50만 달러에 다크 웹에 게시됨.
- 2024년 5월 31일 – Ticketmaster 파일 8k.
내가 눈송이 고객이 아니라면 왜 신경을 써야 하나요?
첫째, 데이터가 도난당한 데이터 세트의 일부였을 수 있습니다. 이 경우 암호를 재설정하고, 신용 카드를 취소하고, 자신과 가족을 보호하기 위해 예방 조치를 취하는 것이 가장 중요합니다.
둘째, SaaS 제공업체라면 고객을 어떻게 보호하고 있는지 자세히 살펴봐야 할 때입니다. 제3자 벤더의 책임도 논의의 주제였으며, 이러한 위반은 논의를 더욱 촉진할 것입니다. Snowflake는 침해되지 않았지만 고객 데이터가 시계에서 유출되었기 때문에 스스로를 방어해야 합니다. 시장이 이 이벤트에 어떻게 반응했는지 살펴 보겠습니다.
첫째, 스노우플레이크스 주가는 지난 2주 동안 18.6% 하락했다. Ticketmaster의 위반에 대한 소문이 주류 뉴스가 될 때를 알 수 있습니다.
라이브 네이션 엔터테인먼트를 보면, 우리는 영향을 볼 수 있지만 스노우플레이크만큼 극적이지는 않습니다.
SaaS 제공업체로서 고객을 보호하는 것은 우리의 책임입니다. 또한 고객을 보호할 수 있는 능력에도 한계가 있습니다. 보안 침해를 방지하는 방식으로 솔루션을 적절히 구성해야 하는 경우가 많지만, SaaS 제공업체가 이를 어렵게 만들거나 사용자가 직접 촬영할 수 있도록 허용하는 경우도 있습니다.
SaaS 제공업체의 임무는 “설계에 의한 보안”과 “기본에 의한 보안”을 최우선으로 생각하는 제품을 구축하는 것입니다. 우리가 스스로에게 이 기본적인 질문을 한다면:
“무엇이 이 공격이 그렇게 성공적이지 못하게 했을까?”
우리가 찾은 해답은 간단합니다: 다단계 인증(MFA).
이제는 고객을 보호하기 위해 더욱 적극적으로 나설 때입니다. 액세스 브로커는 2020 이후 기술 생태계에서 더 중추적인 부분이 되었으며 이와 같은 침해는 계속해서 주목을 받고 있습니다. 그러나 모든 사람이 위반의 위험을 낮추기 위해 취해야 할 기본적인 예방 조치가 있으며, 이는 MFA를 의무화하기 위한 것입니다.
암호와 마찬가지로 MFA는 더 이상 선택 사항이 아닙니다.
벤더는 Snowflake가 열을 발산하고 있기 때문에 사용자가 MFA 없이 솔루션에 액세스할 수 있기 때문에 이를 심각하게 고려해야 합니다. Edgio는 더 이상 다중 인증 없이는 새로운 사용자를 생성하지 못하도록 노력할 것입니다. 이러한 움직임은 고객을 보호하기 위한 것입니다. “기본값으로 보안”이라는 진술에 따라 생활합니다.
이 침해의 주요 요점:
- 사건 대응 프로세스를 통해 Snowflake Solution Engineer의 자격 증명이 도난당했다는 사실이 발견되었습니다.
- Snowflake는 해당 계정이 데모 데이터에만 액세스할 수 있고 프로덕션 데이터에는 액세스할 수 없다고 주장합니다.
- 도난당한 사용자 계정은 MFA(Multi-Factor Authentication)로 보호되지 않았습니다.
- 정보 도용자 맬웨어를 통해 자격 증명이 도용되었습니다.
- Snowflake 고객/사용자를 대상으로 진행 중인 공격 캠페인은 최종 사용자가 MFA를 사용하지 않아 불행한 성공을 거두고 있습니다.
이 침해에 대해 기업들은 무엇을 해야 할까요? 어떤 질문을 해야 합니까?
- 직원 중 정보 도용 맬웨어로 인해 감염된 적이 있는지, 또는 키로깅을 유발할 수 있는 맬웨어가 있는지 알고 계십니까?
- 예라고 답한 경우, 그 손상 이후 암호를 강제로 재설정했습니까?
- 부서 중 권한이 과도한 사용자가 있습니까? 이러한 사용자 계정을 어떻게 보호하고 있습니까? 이러한 사용자를 어떻게 보호하고 있습니까?
- 모든 내부 및 타사 응용 프로그램에 MFA를 적용하고 있습니까? 즉, SSO 뒤에 있지 않은 사람도 마찬가지입니다.
- Snowflake IOC의 검토 및 이해: https://community.snowflake.com/s/article/Communication-ID-0108977-Additional-Information
결론적으로, Snowflake에 영향을 미치는 최근의 데이터 침해는 강력한 보안 조치, 특히 MFA(Multi-Factor Authentication) 구현의 중요성을 강조합니다. 사이버 위협이 계속 진화함에 따라 암호에만 의존하는 것만으로는 더 이상 충분하지 않습니다. Edgio는 고객의 디지털 자산을 보호하기 위해 “기본 보안” 접근 방식을 채택해야 할 필요성을 인식하고 있습니다. MFA를 의무화하고 보안 프로토콜을 지속적으로 강화함으로써 무단 액세스를 방지하고 침해의 위험을 줄이는 것을 목표로 합니다. 보안 전문가가 방어 체계를 강화하고 새로운 위협에 직면한 조직에서 탄력성을 유지할 수 있도록 도와드립니다.