Garde-fous Snowflake anti-ransomware

Un ransomware est un type de logiciel malveillant qui chiffre les données d'une victime ou verrouille son appareil, exigeant une rançon pour rétablir l'accès ou pour ne pas exposer les données. Cette menace représente des risques importants pour les entreprises, notamment des pertes financières liées au paiement de rançons et à la restauration des données, des perturbations opérationnelles, des conséquences juridiques et l’atteinte à la réputation. En outre, les données sensibles peuvent être volées et divulguées, ce qui entraîne des dommages supplémentaires.

Bien qu'aucune fonctionnalité ou mesure ne puisse garantir une protection totale contre les acteurs malveillants, l'utilisation d'une approche de sécurité en couches avec les fonctionnalités avancées de Snowflake permet de réduire ces menaces de sécurité.

Les clients veulent connaître le niveau de protection offert par leurs fournisseurs cloud afin de limiter les risques de ransomware. Dans cet article de blog, nous explorerons les techniques de mitigation proposées par Snowflake, qui se divisent en deux catégories : les fonctionnalités par défaut de la plateforme Snowflake, qui ne nécessitent aucune implémentation client, et les fonctionnalités qui nécessitent une implémentation client.

Ici, nous présentons la plateforme et les contrôles d’atténuation destinés aux clients que Snowflake offre sous forme de mesures de prévention, de détection et de récupération.

La plateforme Snowflake : des bases de sécurité efficaces

Snowflake est un SaaS avec une sécurité efficace de par sa conception. Pour plus de détails, consultez le Hub de sécurité Snowflake et l'addendum de sécurité.

Prévention 

Contrôles d'accès 

L'accès à l'infrastructure Snowflake est protégé par plusieurs niveaux de sécurité (défense en profondeur et confiance nulle). Par exemple, seules les machines d’entreprise autorisées via une authentification multifactorielle peuvent être utilisées pour accéder à l’infrastructure et aux services Snowflake. Snowflake met en œuvre l’accès selon les principes du moindre privilège et de la séparation des tâches ; l’accès aux ressources de l’infrastructure est basé sur les principes de l’accès basé sur les rôles et du moindre privilège. En outre, les demandes d’accès sont soumises à un flux d’approbation et font l’objet d’audits de conformité. Vous pouvez visiter notre Snowflake Compliance Center pour en savoir plus sur les derniers rapports de sécurité (tels que SOC2, HITRUST, ISO 27001, 27017, 27018 et plus) et en faire la demande directement sur le portail.

Contrôles du logiciel de calcul Snowflake 

Le logiciel de calcul Snowflake est scanné et patché en continu conformément à nos politiques de gestion des vulnérabilités, ce qui permet de limiter toute altération de ces images ou de ce code pour introduire tout code malveillant de type ransomware.

Détection 

Snowflake met en œuvre un centre opérationnel de sécurité 24 h/24, 7 j/7 pour la surveillance continue de la sécurité et la détection des activités suspectes. 

Récupération : résilience Snowflake

Une région Snowflake est construite sur au moins trois zones de disponibilité au sein d’une région de fournisseur cloud. Cela permet la redondance en cas de défaillance et l’isolation des défaillances pour limiter la propagation des logiciels malveillants. Pour assurer une haute disponibilité et une continuité de l’activité cross-région et/ou cross-cloud, nos clients peuvent tirer parti de la réplication Snowflake.

Pour plus de détails sur la sécurité Snowflake dès sa conception, consultez l’eBook Snowflake Technical Tools for Protecting Sensitive Customer Data, pages 10 et 11. 

Atténuation des risques de ransomware côté clients 

Snowflake fournit à ses clients un ensemble de fonctionnalités permettant de limiter les risques de ransomware. Nous améliorons continuellement ces capacités. Nos clients peuvent exploiter la défense en profondeur pour permettre l'accès autorisé à leurs comptes Snowflake tout en empêchant les acteurs malveillants d'accéder à leurs ressources Snowflake et d'introduire un ransomware.

Prévention 

Nos clients doivent renforcer leurs comptes Snowflake pour limiter les attaques de ransomware en appliquant les directives suivantes.

Diminution du risque de vecteurs d’attaque réseau : pour limiter les attaques en entrée et en sortie, les clients de surface peuvent profiter des protections suivantes.

• Protection en entrée du réseau : limitez la surface d'attaque en exploitant les politiques réseau d’entrée pour restreindre l'accès aux adresses IP autorisées seulement. Si les clients utilisent une connectivité privée entrante, ils peuvent également exploiter les balises CSP telles que VPCID et LinkID.

• Protection en sortie du réseau : les clients peuvent exploiter les règles réseau en sortie pour restreindre l'accès aux ressources autorisées de leur réseau seulement, et les clients peuvent exploiter une connectivité privée sortante lorsqu'ils se connectent à des ressources telles qu'Iceberg, des environnements de staging externes ou des API. 

Atténuation des vecteurs d’attaque d’identités volées : pour limiter l’accès non autorisé et limiter les attaques d’informations d’identification volées, Snowflake met en place les protections suivantes.

• Retrait de l’accès à Snowflake par mot de passe uniquement : nos clients sont encouragés à utiliser des méthodes d'authentification plus fortes telles que OAuth et SAML. Découvrez nos meilleures pratiques pour atténuer le risque de compromission des informations d’identification.

• Investissement dans les capacités de sécurité et l'innovation : Snowflake continuera d’investir dans les capacités de sécurité de ses comptes clients et proposera davantage de produits et d’innovations dans ce domaine, tels que la prise en charge native des passkeys et les mots de passe à usage unique basés sur le temps (TOTP), incluant les applications d’authentification. Tout cela fonctionnera de pair avec les autres fonctionnalités récemment annoncées par Snowflake, y compris la protection contre les mots de passe divulgués, le Trust Center et les politiques MFA. 

Atténuation des vecteurs d’attaque d’accès non autorisé aux données : les clients peuvent utiliser la classification des données sensibles Snowflake, le balisage, les contrôles d’accès basés sur les rôles (RBAC), les politiques de masquage des données et les politiques d’accès aux lignes pour mettre en œuvre un accès avec moindre privilège et limiter l’accès non autorisé aux données.

Détection 

• Audit et surveillance continus : les clients doivent exploiter l’historique des accès et l’historique des connexions pour surveiller en permanence les activités suspectes, telles que les rôles élevés (sysadmin, administrateur de comptes) utilisés pour interroger les données ou accéder aux données à partir d’adresses IP non autorisées.

• Identification des utilisateurs à risque : les clients doivent utiliser le Trust Center ou le package Threat Intelligence pour répertorier les utilisateurs à risque qui doivent être protégés avec de meilleures méthodes d'authentification.

• Atténuation du vecteur d’attaque de manipulation des métadonnées par ransomware : nos clients peuvent tirer parti des notifications de gestion des changements en utilisant les alertes et notifications Snowflake pour savoir quand des changements ont été effectués, tels que la modification des paramètres Time Travel, la modification RBAC élevée, l’utilisation du rôle d’administrateur de comptes, etc.

Récupération 

Nos clients devraient utiliser Snowflake Time Travel, qui leur permet d’accéder aux versions précédentes des données modifiées ou supprimées.

Comme mentionné ci-dessus, les risques de ransomware ne peuvent pas être entièrement éliminés à cause de nombreux autres vecteurs d'attaque, tels qu'un gestionnaire de secrets clients compromis où les clés de chiffrement sont stockées ou un acteur malveillant accédant à l'administrateur de comptes en raison de machines clients compromises. Si un acteur malveillant accède au système après que tous les contrôles ci-dessus ont échoué et a réussi à désactiver Time Travel, Snowflake dispose d’une autre fonctionnalité, Fail-Safe, qui peut protéger nos clients.

Fail-Safe n'est pas une nouvelle fonctionnalité. Les versions précédentes des données sont conservées dans un stockage client séparé pendant sept jours, et les clients peuvent contacter le support Snowflake pour les aider à restaurer leurs données avant qu'elles ne soient manipulées par un ransomware. Un acteur malveillant ne peut pas changer cette période de sept jours, car celle-ci est inscrite dans la plateforme. 

Conclusion

Snowflake renforce la confiance de ses clients et améliore leur cyberrésilience en mettant en œuvre et en facilitant une approche en profondeur de la défense pour atténuer les vecteurs d’attaque par ransomware. Pour plus d'informations, rendez-vous sur le Hub de sécurité Snowflake.

Déclarations prévisionnelles 

Cet article contient des déclarations prévisionnelles, notamment de futures offres de produits. Il ne constitue en aucun cas un engagement à fournir des offres de produits. Les offres et résultats réels peuvent varier et faire l’objet de risques connus et inconnus, ainsi que d’incertitudes. Découvrez notre dernier 10‑Q pour en savoir plus.