.png)
Kelompok penjahat dunia maya yang dikenal sebagai UNC5537 sedang terguncang.
Selama sebulan terakhir, geng tebusan, kemungkinan terkait dengan ShinyHunters atau Scattered Spider, mencuri lebih dari 560 juta catatan pelanggan dari Ticketmaster dan mempostingnya untuk dijual di situs kebocoran yang dibentuk kembali, BreachForums, pada 28 Mei, meminta $500,000. Dua hari kemudian, kelompok tersebut mengklaim telah mencuri 30 juta catatan rekening dari Santander Bank yang berbasis di Spanyol, dan meminta uang sejumlah $2 juta. Kedua perusahaan mengakui pelanggaran tersebut setelah postingan tersebut.
Penyebab kebocoran data – dan setidaknya 163 pelanggaran lainnya – tampaknya bukan karena kerentanan tetapi penggunaan kredensial yang dicuri dan kontrol yang buruk pada otentikasi multifaktor (MFA), menurut analisis tanggal 10 Juni oleh perusahaan respons insiden Mandiant, bagian dari Google.
"Investigasi Mandiant belum menemukan bukti apa pun yang menunjukkan bahwa akses tidak sah ke akun pelanggan Snowflake berasal dari pelanggaran lingkungan perusahaan Snowflake," kata Mandiant dalam analisisnya. “Sebaliknya, setiap insiden yang ditanggapi Mandiant terkait dengan kampanye ini ditelusuri kembali ke kredensial pelanggan yang dikompromikan.”
Meskipun pencurian data dari sistem Snowflake sebenarnya bisa dicegah oleh MFA, kegagalan perusahaan-perusahaan tersebut lebih dari sekadar kurangnya kendali tunggal tersebut. Bisnis yang menggunakan layanan cloud perlu memastikan bahwa mereka memiliki visibilitas terhadap permukaan serangan mereka, dengan cepat menghapus akun mantan karyawan dan kontraktor, serta mengurangi peluang bagi penyerang oportunistik untuk menyusupi sistem, jaringan, atau layanan, kata Chris Morgan, senior cyber ancaman analis intelijen di penyedia platform keamanan cloud-native ReliaQuest.
“Pelajaran terbesar yang didapat adalah bahwa pelaku ancaman tidak perlu menggunakan teknik canggih,” katanya. “Menargetkan hal-hal yang mungkin terjadi – dalam hal ini, kredensial yang tidak aman – dapat dicapai dengan sedikit usaha dari pelaku ancaman, namun memberikan banyak peluang.”
Berikut adalah lima pembelajaran dari serentetan pelanggaran cloud terbaru.
1. Mulailah Dengan MFA dan Kemudian Lanjutkan
Ada banyak ruang untuk pertumbuhan dalam penerapan MFA. Meskipun 64% pekerja dan 90% administrator menggunakan MFA, menurut laporan yang dirilis setahun yang lalu, lebih dari enam dari setiap 10 organisasi memiliki setidaknya satu pengguna root atau administrator tanpa mengaktifkan MFA di akunnya, menurut Orca Security's " Laporan Keadaan Cloud 2024."
Dunia usaha perlu mencapai 100% yang konsisten — dan dapat diverifikasi —, kata Ofer Maor, salah satu pendiri dan chief technology officer di perusahaan keamanan cloud Mitiga.
Perusahaan harus “memastikan MFA ditegakkan dan diwajibkan, dan jika menggunakan [sistem masuk tunggal], pastikan login non-SSO dinonaktifkan,” katanya. “Lakukan lebih dari sekadar MFA tradisional [dan] aktifkan langkah-langkah keamanan tambahan, seperti autentikasi berbasis perangkat [atau] perangkat keras untuk infrastruktur sensitif.”
2. Gunakan Daftar Kontrol Akses untuk Membatasi Alamat IP Resmi
Organisasi juga harus menerapkan daftar kontrol akses (ACL), membatasi di mana pengguna dapat mengakses layanan cloud atau setidaknya memungkinkan peninjauan log akses setiap hari untuk menemukan anomali apa pun.
Hal ini semakin membatasi kemampuan penyerang siber, kata Jake Williams, analis fakultas dan praktisi keamanan siber di perusahaan analis IANS Research.
“Sebenarnya, untuk hampir semua infrastruktur cloud… merupakan praktik terbaik untuk membatasi alamat IP asal orang,” katanya. “Jika Anda tidak bisa, maka tinjauan akses menjadi lebih penting untuk memastikan bahwa orang-orang tidak datang dari tempat yang tidak Anda duga.”
3. Memaksimalkan Visibilitas Ke Layanan Cloud
Perusahaan juga perlu memiliki cara yang berarti untuk terus memantau aplikasi. Data log, aktivitas akses, dan layanan yang menggabungkan sumber data menjadi gambaran lengkap dapat membantu perusahaan mendeteksi dan mencegah serangan, seperti yang terjadi pada Snowflake.
Selain itu, organisasi harus mampu waspada terhadap perilaku tertentu atau deteksi ancaman — sebuah pendekatan yang dapat mendeteksi upaya penjahat dunia maya dalam mengakses data cloud mereka, kata Brian Soby, CTO dan salah satu pendiri AppOmni, sebuah perangkat lunak sebagai- perusahaan manajemen postur keamanan layanan.
“Meskipun tim operasi keamanan tersebar sedikit dan umumnya tidak mempunyai kesempatan untuk mengembangkan keahlian mendalam dalam berbagai aplikasi yang digunakan oleh perusahaan mereka, peralatan dan platform keamanan mereka seharusnya dapat dengan cepat mengidentifikasi masalah ini,” katanya. "Dalam skenario ini, tentu saja terdapat anomali login dari lokasi yang tidak biasa dan koneksi aplikasi penyerang yang sangat dipertanyakan ke instance Snowflake pelanggan."
4. Jangan Mengandalkan Default Penyedia Cloud Anda
Meskipun penyedia layanan cloud ingin menekankan bahwa keamanan adalah model tanggung jawab bersama, kecuali jika penyerang melanggar infrastruktur atau perangkat lunak penyedia cloud — seperti kerentanan tahun lalu pada layanan MoveIT Cloud dan perangkat lunak MoveIT Transfer dari Progress Software — tanggung jawabnya hampir selalu jatuh ke tangan pelanggan.
Namun, sering kali penyedia cloud memprioritaskan kegunaan dibandingkan keamanan, sehingga perusahaan tidak boleh bergantung pada default penyedia mereka agar aman. Ada banyak hal yang bisa dilakukan Snowflake, misalnya, untuk membuat pengelolaan MFA lebih mudah, termasuk mengaktifkan kontrol keamanan secara default, kata Maor dari Mitiga.
“Apa yang memungkinkan serangan ini berhasil, dan pada skala ini, adalah pengaturan default akun Snowflake tidak memerlukan MFA, yang berarti setelah Anda mendapatkan nama pengguna dan kata sandi yang disusupi, Anda bisa mendapatkan akses penuh dengan segera,” katanya. “Biasanya, platform dengan sensitivitas tinggi akan mengharuskan pengguna untuk mengaktifkan MFA. Snowflake tidak hanya tidak memerlukan MFA tetapi juga mempersulit administrator untuk menerapkan hal ini.”
5. Periksa Pihak Ketiga Anda
Yang terakhir, perusahaan juga harus memperhatikan bahwa — bahkan jika mereka tidak menggunakan Snowflake atau layanan cloud lainnya — penyedia pihak ketiga dapat menggunakan layanan tersebut sebagai back-endnya, sehingga data mereka berisiko, kata Williams dari IANS Research.
“Data Anda mungkin ada di Snowflake, meskipun Anda tidak menggunakannya,” katanya. "Itulah kompleksitas rantai pasokan saat ini... Anda memberikan data Anda kepada penyedia layanan pihak ketiga, yang kemudian memasukkannya ke dalam Snowflake dan mungkin menggunakan praktik terbaik atau tidak."
Organisasi harus menghubungi semua penyedia layanan yang memiliki akses ke data mereka dan memastikan bahwa mereka mengambil langkah yang tepat untuk melindungi informasi tersebut, kata Williams.
Sumber: Robert Lemos, Contributing Writer, Dark Reading
