Die gemeldeten Vorfälle, von denen Snowflake-Kunden betroffen sind, veranschaulichen ein wiederkehrendes Muster in der modernen Cloud-Sicherheit: die Ausnutzung vertrauenswürdiger Integrationen und authentifizierter Zugriffe anstatt von Schwachstellen in der Kerninfrastruktur. Ein Kommentar von Shane Barney, CISO von Keeper Security.
Nach bisher öffentlich verfügbaren Informationen scheint die Aktivität im Snowflake-Fall mit der Kompromittierung eines Drittanbieters, einem SaaS-Integrator, zusammenzuhängen. Dabei wurden Authentifizierungs-Tokens gestohlen und anschließend verwendet, um auf nachgelagerte Kundenumgebungen zuzugreifen.
In SaaS-Ökosystemen bilden Identitäten und die damit verbundenen Artefakte, wie beispielsweise Zugangsdaten, Sitzungstokens und API-Schlüssel, die primäre Sicherheitsgrenze. Werden diese Elemente kompromittiert, agieren Angreifer innerhalb gültiger Sitzungen und übernehmen häufig die Berechtigungen, die der Integration selbst gewährt wurden. Drittanbieter-Integrationen stellen ein zunehmendes Risiko dar. Ihnen wird häufig ein dauerhafter, hochvertrauenswürdiger Zugriff gewährt, um die Automatisierung zu unterstützen und den Datenaustausch zu ermöglichen. Genau dieser Zugriff kann jedoch den Schadensradius erheblich vergrößern, wenn er kompromittiert wird. Ohne strenge Kontrollen kann ein einzelner Ausfallpunkt in der Lieferkette eine Kettenreaktion über mehrere Systeme und Organisationen hinweg auslösen.
Eine der wichtigsten Unterscheidungen bei solchen Vorfällen ist der Unterschied zwischen Authentifizierung und Autorisierung. Die Authentifizierung bestätigt, dass ein Benutzer oder System tatsächlich der ist, der er vorgibt zu sein, während die Autorisierung festlegt, worauf diese Identität zugreifen darf. In diesem Fall deutet die Verwendung gültiger, gestohlener Tokens darauf hin, dass die Authentifizierungskontrollen nicht umgangen wurden, sondern dass die der Integration gewährten Berechtigungen ausreichten, um Datenabflüsse zu ermöglichen. Das verdeutlicht eine häufige Schwachstelle in SaaS-Umgebungen: Organisationen legen großen Wert auf die Sicherheit beim Login, schenken jedoch dem Verhalten nach der Anmeldung deutlich weniger Aufmerksamkeit.
Unternehmen müssen nicht-menschliche Identitäten und Integrationen mit demselben Maß an Governance behandeln wie privilegierte Benutzer. Dazu gehört die Durchsetzung von Minimalrechten (Least Privilege), die Minimierung der Token-Lebensdauer, die kontinuierliche Rotation von Zugangsdaten sowie Transparenz darüber, wie Integrationen mit sensiblen Daten interagieren. Ebenso wichtig ist die Überwachung von Aktivitäten nach der Authentifizierung. Das Erkennen ungewöhnlichen Verhaltens innerhalb gültiger Sitzungen – etwa ungewöhnlicher Datenzugriffsmuster oder auffälliger Abfragevolumina – ist entscheidend, um diese Art von Bedrohung frühzeitig zu identifizieren und einzudämmen, bevor es zu einem großflächigen Datenabfluss kommt.
#KeeperSecurity
