Guardarraíles de Snowflake contra el ransomware

El ransomware es un tipo de software malicioso que cifra los datos de una víctima o bloquea su dispositivo, exigiendo un rescate para restaurar el acceso o para no exponer los datos. Plantea riesgos significativos para las empresas, incluidas pérdidas financieras por el pago de rescates y la restauración de datos, interrupciones operativas, consecuencias legales y daños reputacionales. Además, los datos confidenciales pueden ser robados y filtrados, lo que provoca daños adicionales.

Si bien ninguna función o medida puede garantizar una protección del 100 % frente a actores maliciosos, usar un enfoque de seguridad por capas con las capacidades avanzadas de Snowflake ayuda a mitigar este tipo de amenazas de seguridad.

Los clientes quieren conocer el nivel de protección que ofrecen sus proveedores de nube para ayudar a mitigar el riesgo de ransomware. En esta entrada de blog, exploramos las técnicas de mitigación que ofrece Snowflake, que se dividen en dos categorías: las capacidades predeterminadas de la plataforma de Snowflake, que no requieren implementación por parte del cliente, y las capacidades que sí requieren implementación por parte del cliente.

Presentamos controles de mitigación orientados a la plataforma y al cliente que Snowflake proporciona en forma de medidas de prevención, detección y recuperación.

Plataforma de Snowflake: sólidos cimientos de seguridad

Snowflake es un software como servicio (SaaS) con una seguridad sólida por diseño. Para más información, visita el Centro de seguridad de Snowflake y consulta el Security Addendum.

Prevención 

Controles de acceso 

El acceso a la infraestructura de Snowflake está protegido por múltiples capas de seguridad (defensa en profundidad y confianza cero). Por ejemplo, solo se pueden usar máquinas corporativas autorizadas mediante autenticación multifactor para acceder a la infraestructura y a los servicios de Snowflake. Snowflake implementa el acceso con privilegios mínimos y la separación de tareas; el acceso a los recursos de infraestructura se basa en los principios de acceso basado en roles y privilegios mínimos. Además, las solicitudes de acceso pasan por un flujo de trabajo de aprobación y se auditan para garantizar el cumplimiento. Puedes visitar nuestro Snowflake Compliance Center para obtener más información sobre los informes de seguridad más recientes (como SOC2, HITRUST, ISO 27001, 27017, 27018 y otros) y solicitarlos directamente desde el portal.

Controles del software de cómputo de Snowflake 

El software de cómputo de Snowflake se analiza y se revisa continuamente de acuerdo con nuestras políticas de gestión de vulnerabilidades, lo que ayuda a mitigar cualquier manipulación de esas imágenes o del código para introducir código malicioso de ransomware.

Detección 

Snowflake implementa un centro de operaciones de seguridad con servicio ininterrumpido para la supervisión continua de la seguridad y la detección de actividades sospechosas. 

Recuperación: resiliencia de Snowflake

Una región de Snowflake se construye en al menos tres zonas de disponibilidad dentro de una región de un proveedor de nube. Esto permite la redundancia en caso de fallo y proporciona aislamiento de fallos para mitigar la propagación de malware. Para ofrecer alta disponibilidad y continuidad del negocio entre regiones o entre nubes, los clientes pueden aprovechar la replicación de Snowflake.

Para más información sobre la seguridad por diseño de Snowflake, consulta Snowflake Technical Tools for Protecting Sensitive Customer Data, páginas 10 y 11. 

Mitigación del ransomware orientada al cliente 

Snowflake ofrece a los clientes un conjunto de capacidades para ayudar a mitigar el riesgo de ransomware. Mejoramos continuamente estas capacidades. Los clientes pueden aprovechar la defensa en profundidad para permitir el acceso autorizado a sus cuentas de Snowflake, a la vez que restringen el acceso de actores maliciosos a los recursos de Snowflake y la introducción de ransomware.

Prevención 

Los clientes deben reforzar sus cuentas de Snowflake para mitigar los ataques de ransomware aprovechando las siguientes directrices.

Mitigación de vectores de ataque de red: Para limitar la superficie de ataque de entrada y salida, los clientes pueden aprovechar las siguientes protecciones.

• Protección de red a nivel de entrada: Limita la superficie de ataque al aprovechar las políticas de red de entrada para restringir el acceso únicamente a direcciones IP autorizadas. Si los clientes utilizan conectividad privada de entrada, también pueden aprovechar etiquetas del CSP como VPCID y LinkID.

• Protección de red a nivel de salida: Los clientes pueden aprovechar las reglas de red de salida para restringir el acceso únicamente a recursos autorizados en su red, y pueden aprovechar la conectividad privada de salida al conectarse a recursos como Iceberg, Stages externos o API. 

Mitigación de vectores de ataque de identidades robadas: Para limitar el acceso no autorizado y mitigar los ataques con credenciales robadas, Snowflake tiene disponibles las siguientes protecciones.

• Retirada del acceso a Snowflake solo con contraseña: Se anima a los clientes a aprovechar métodos de autenticación más sólidos, como OAuth y SAML. Consulta nuestras prácticas recomendadas para mitigar el riesgo de credenciales comprometidas.

• Inversión en capacidades de seguridad e innovación: Snowflake continuará invirtiendo en las capacidades de seguridad de sus cuentas de clientes y aportará más productos e innovaciones a este ámbito, como compatibilidad nativa con claves de acceso y contraseñas de un solo uso y de duración limitada (TOTP), incluidas aplicaciones de autenticación. Todo esto funcionará en estrecha colaboración con otras capacidades anunciadas recientemente por Snowflake, como Leaked Password Protection, Trust Center y las políticas de MFA. 

Mitigación de los vectores de ataque de acceso no autorizado a los datos: Los clientes pueden aprovechar la clasificación de datos confidenciales de Snowflake, el etiquetado, los controles de acceso basados en roles (RBAC), las políticas de enmascaramiento de datos y las políticas de acceso a filas para implementar un acceso con privilegios mínimos y mitigar el acceso no autorizado a los datos.

Detección 

• Auditoría y monitorización continuas: Los clientes deben aprovechar el historial de acceso y el historial de inicio de sesión para monitorizar de forma continua actividades sospechosas, como roles elevados (sysadmin, account admin) usados para consultar datos o accesos desde direcciones IP no autorizadas.

• Identificación de usuarios de riesgo: Los clientes deben aprovechar Trust Center o el paquete Threat Intelligence para enumerar los usuarios de riesgo que deben protegerse con mejores métodos de autenticación.

• Mitigación del vector de ataque de manipulación de metadatos de ransomware: Los clientes pueden aprovechar las notificaciones de gestión de cambios mediante el uso de alertas y notificaciones de Snowflake para saber cuándo se han realizado cambios, como un cambio en la configuración de Time Travel, un cambio de RBAC a un nivel superior, el uso del rol account admin, etc.

Recuperación 

Los clientes deben aprovechar Time Travel de Snowflake, que les permite acceder a versiones anteriores de datos modificados o eliminados.

Como se ha mencionado anteriormente, los riesgos de ransomware no pueden eliminarse por completo debido a muchos otros vectores de ataque, como un gestor de secretos del cliente comprometido donde se almacenan las claves de cifrado o un actor malicioso que obtiene acceso a account admin debido a que las máquinas del cliente se han visto comprometidas. Si un actor malicioso obtiene acceso al sistema después de que hayan fallado todos los controles anteriores y ha conseguido desactivar Time Travel, Snowflake cuenta con otra capacidad, Fail-Safe, que puede proteger a los clientes.

Fail-Safe no es una capacidad nueva. Las versiones anteriores de los datos se conservan en un almacenamiento independiente del cliente durante siete días, y los clientes pueden contactar con el equipo de asistencia de Snowflake para que les ayude a restaurar sus datos antes de que el ransomware los manipule. El actor malicioso no puede cambiar este periodo de siete días, ya que está integrado en la plataforma. 

Conclusión

Snowflake refuerza la confianza de los clientes y mejora la ciberresiliencia al implementar y facilitar un enfoque de defensa en profundidad para mitigar los vectores de ataque de ransomware. Para obtener más información, visita el Centro de seguridad de Snowflake.

Declaraciones prospectivas

Este artículo contiene declaraciones prospectivas, incluidas las declaraciones relativas a nuestras futuras ofertas de productos, que no implican que nos comprometamos a proporcionar ninguna oferta de producto. Los resultados y las ofertas reales pueden diferir y están sujetos a riesgos e incertidumbres conocidos y desconocidos. Consulta nuestro formulario 10-Q más reciente para obtener más información.