Snowflake Ransomware Guardrails

Ransomware ist eine Art von Schadsoftware, die die Daten eines Opfers verschlüsselt oder sein Gerät sperrt und Lösegeld verlangt, um den Zugriff wiederherzustellen oder die Daten nicht preiszugeben. Sie birgt erhebliche Risiken für Unternehmen, darunter finanzielle Verluste durch Lösegeldzahlungen und Datenwiederherstellung, Betriebsstörungen, rechtliche Konsequenzen und Imageschäden. Darüber hinaus können sensible Daten gestohlen und weitergegeben werden, was zu weiterem Schaden führt.

Zwar kann keine Funktion oder Maßnahme einen 100%igen Schutz vor böswilligen Absichten gewährleisten, doch ein mehrschichtiger Sicherheitsansatz mit den fortschrittlichen Funktionen von Snowflake trägt zur Eindämmung solcher Sicherheitsbedrohungen bei.

Kundenunternehmen möchten wissen, wie viel Schutz ihre Cloud-Anbieter bieten, um das Risiko von Ransomware zu minimieren. In diesem Blogbeitrag untersuchen wir die von Snowflake angebotenen Techniken zur Risikominderung, die in zwei Kategorien unterteilt werden: die Standardfunktionen der Snowflake-Plattform, die keine Kundenimplementierung erfordern, und Funktionen, die eine Kundenimplementierung erfordern.

Hier stellen wir Ihnen die Plattform- und kundenseitigen Risikominderungen vor, die Snowflake in Form von Präventions-, Erkennungs- und Wiederherstellungsmaßnahmen bereitstellt.

Die Plattform von Snowflake: starke Sicherheitsgrundlagen

Snowflake ist ein SaaS mit robuster Sicherheit von Haus aus. Weitere Details finden Sie im Snowflake-Security Hub und im Security Addendum.

Prävention 

Zugriffskontrolle 

Der Zugriff auf die Snowflake-Infrastruktur ist durch mehrere Sicherheitsebenen geschützt (Defense in Depth und Zero-Trust). So können beispielsweise nur autorisierte, vom Unternehmen ausgestellte Maschinen mit Multi-Faktor-Authentifizierung für den Zugriff auf die Infrastruktur und die Snowflake-Services verwendet werden. Snowflake implementiert den Zugriff auf die am wenigsten privilegierten Ressourcen und die Trennung von Pflichten. Der Zugriff auf Infrastrukturressourcen basiert auf den Prinzipien des rollenbasierten Zugriffs und der am wenigsten privilegierten Ressourcen. Darüber hinaus durchlaufen Zugriffsanfragen einen Genehmigungsworkflow und werden auf Compliance geprüft. Besuchen Sie unser Snowflake Compliance Center, um mehr über die neuesten Sicherheitsberichte (wie SOC2, HITRUST, ISO 27001, 27017, 27018 und mehr) zu erfahren und diese direkt über das Portal anzufordern.

Snowflake Compute Software Controls 

Snowflake-Compute-Software wird kontinuierlich gemäß unseren Richtlinien für das Vulnerability Management gescannt und gepatcht. So können Sie etwaige Manipulationen an diesen Bildern oder Code vermeiden, um schädlichen Ransomware-Code einzuführen.

Erkennung 

Snowflake implementiert ein rund um die Uhr verfügbares Security Operating Center zur kontinuierlichen Sicherheitsüberwachung und Erkennung verdächtiger Aktivitäten. 

Wiederherstellung: Snowflake-Resilienz

Eine Snowflake-Region erstreckt sich über mindestens drei Verfügbarkeitszonen innerhalb einer Cloud-Anbieterregion. Dies unterstützt Redundanz im Fehlerfall und bietet Fehlerisolierung, um die Ausbreitung von Malware zu minimieren. Um eine regionale und/oder cloudübergreifende Hochverfügbarkeit und Geschäftskontinuität zu gewährleisten, können Kunden die Snowflake-Replikation nutzen.

Weitere Details zu Snowflake Security finden Sie in Snowflake Technical Tools for Protecting Sensitive Customer Data auf den Seiten 10 und 11. 

Kundenseitige Ransomware-Eindämmung 

Snowflake stellt Kunden eine Reihe von Funktionen zur Verfügung, um das Risiko von Ransomware zu minimieren. Wir verbessern diese Fähigkeiten kontinuierlich. Kunden können Defense in Depth nutzen, um autorisierten Zugriff auf ihre Snowflake-Konten zu ermöglichen und gleichzeitig böswillige Akteure davon abzuhalten, Zugriff auf ihre Snowflake-Ressourcen zu erhalten und Ransomware einzuschleusen.

Prävention 

Kunden sollten ihre Snowflake-Konten absichern, um Ransomware-Angriffe zu verhindern, indem sie die folgenden Richtlinien nutzen.

Eindämmung von Netzwerkangriffsvektoren: Um Angriffe einzuschränken, können Surface-Kunden die folgenden Schutzmaßnahmen nutzen.

• Schutz auf Eingangsnetzwerkebene: Begrenzen Sie die Angriffsfläche, indem Sie eingehende Netzwerkrichtlinien nutzen, um den Zugriff nur von autorisierten IP-Adressen zu beschränken. Wenn Kunden eingehende private Konnektivität nutzen, können sie auch CSP-Tags wie VPCID und LinkID verwenden.

• auf Ausgangsnetzwerkebene: Kunden können die Ausgangsnetzwerksregeln nutzen, um den Zugriff auf nur autorisierte Ressourcen in ihrem Netzwerk zu beschränken, und Kunden können die private Ausgangskonnektivität nutzen, wenn sie eine Verbindung zu Ressourcen wie Iceberg, externen Stages oder APIs herstellen. 

Eindämmung von Angriffsmethoden bei Identitätsdiebstahl: Um unbefugten Zugriff zu beschränken und Angriffe durch Diebstahl von Anmeldeinformationen abzuwehren, aktiviert Snowflake die folgenden Schutzmaßnahmen.

• Außerbetriebnahme des Zugangs zu Snowflake mit Single-Faktor-Passwortauthentifizierung: Kunden werden angehalten, stärkere Authentifizierungsmethoden wie OAuth und SAML zu nutzen. Sehen Sie sich unsere Best Practices an, um das Risiko einer Kompromittierung Ihrer Anmeldedaten zu minimieren.

• Investitionen in Sicherheitsfunktionen und Innovation: Snowflake wird auch weiterhin in die Sicherheitsfunktionen der Konten unserer Kunden investieren und weitere Produkte und Innovationen in diesem Bereich einführen, wie z. B. native Unterstützung für Passkeys und zeitbasiertes Einmalpasswort (Time Based One Time Password, TOTP), einschließlich Authentifizierungs-Apps. All dies wird Hand in Hand mit den anderen kürzlich angekündigten Funktionen von Snowflake funktionieren, darunter Leaked Password Protection, Trust Center und MFA Policies. 

Eindämmung von Angriffsmethoden durch unbefugten Datenzugriff: Kunden können Snowflake für die Klassifizierung sensibler Daten, Tagging, rollenbasierte Zugriffskontrollen (RBAC), Datenmaskierungsrichtlinien und Zeilenzugriffsrichtlinien nutzen, um den Zugriff mit den geringsten Berechtigungen zu implementieren und unbefugten Datenzugriff zu verhindern.

Erkennung 

• Kontinuierliche Prüfung und Überwachung: Kunden sollten die Zugriffsverlauf und die Anmeldehistorie nutzen, um verdächtige Aktivitäten kontinuierlich zu überwachen, wie z. B. Rollen mit mehr Rechten (Sysadmin, Kontoadmin), die für die Abfrage von Daten verwendet werden, oder den Zugriff von unbefugten IP-Adressen.

• Identifizierung risikoreicher Nutzender: Kunden sollten das Trust Center oder das Threat Intelligence-Paket nutzen, um die risikobehafteten User aufzulisten, die mit besseren Authentifizierungsmethoden geschützt werden müssen.

• Eindämmung des Angriffsvektors durch Metadatenmanipulation durch Ransomware: Kunden können Change-Management-Benachrichtigungen nutzen, indem sie Snowflake-Benachrichtigungen verwenden, um zu erfahren, wenn Änderungen vorgenommen wurden, z. B. Änderung der Time Travel-Einstellung, erhöhte RBAC-Änderungen, Verwendung der Kontoadministratorrolle usw.

Wiederherstellung 

Kunden sollten Snowflake Time Travel nutzen, um auf frühere Versionen geänderter oder gelöschter Daten zuzugreifen.

Wie bereits oben erwähnt, können Ransomware-Risiken nicht vollständig eliminiert werden, da es viele andere Angriffsvektoren gibt, wie z. B. einen kompromittierten Customer-Secret-Manager, in dem die Encryption Keys gespeichert sind, oder einen böswilligen Akteur, der aufgrund kompromittierter Kundencomputer Zugriff auf Kontoadmins erhält. Wenn ein böswilliger Akteur Zugriff auf das System erhält, nachdem alle oben genannten Kontrollen fehlgeschlagen sind und Time Travel deaktiviert wurde, hat Snowflake eine weitere Funktion, Fail-Safe, die Kunden schützen kann.

Fail-Safe ist keine neue Funktion. Frühere Versionen der Daten werden sieben Tage lang in separaten Speichern aufbewahrt. Kunden können sich an den Snowflake-Support wenden, um ihre Daten wiederherzustellen, bevor sie durch Ransomware manipuliert wurden. Der böswillige Akteur kann diese siebentägige Frist nicht ändern, da sie baked und in die Plattform integriert ist. 

Fazit

Snowflake stärkt das Kundenvertrauen und verbessert die Cyberresilienz, indem es einen tiefgreifenden Verteidigungsansatz implementiert und ermöglicht, um Ransomware-Angriffsvektoren zu verhindern. Weitere Informationen finden Sie im Snowflake Security Hub.

Zukunftsgerichtete Aussagen

Dieser Artikel enthält zukunftsgerichtete Aussagen, unter anderem über künftige Produktangebote. Diese Aussagen stellen keine Garantie dar, dass diese Angebote wirklich bereitgestellt werden. Die tatsächlichen Ergebnisse und Angebote können abweichen und unterliegen bekannten und unbekannten Risiken und Unsicherheiten. Weitere Informationen finden Sie in unserem jüngsten 10-Q-Formular.