التخزين النقي تقدمت باعتبارها أحدث ضحية معروفة لاختراق بيانات اعتماد Snowflake سريع الانتشار، حيث انضمت إلى قائمة تضم أكثر من 150 منظمة تعرضت لسرقة بياناتها من قبل عصابة إجرامية إلكترونية. بعد أن تم اختراق مثيلات Snowflake الخاصة بهم.
قال متخصص تخزين البيانات إنه أكد وعالج حادثًا أمنيًا يتعلق بالوصول غير المصرح به إلى مساحة عمل واحدة لتحليلات بيانات Snowflake. تحتوي مساحة العمل هذه على معلومات القياس عن بعد التي تستخدمها فرق دعم العملاء في Pure، ومن المعروف أنها تتضمن أسماء الشركات وأسماء مستخدمي LDAP وعناوين البريد الإلكتروني وأرقام إصدارات إصدار برنامج Purity.
حاولت Pure طمأنة العملاء بأن المعلومات الأكثر حساسية، مثل كلمات المرور للوصول إلى المصفوفة أو أي بيانات مخزنة على أنظمة العملاء لا تشكل جزءًا من أي معلومات قياس عن بعد ولا يمكن نقلها خارج مصفوفة التخزين نفسها. كما زعمت أنه لا يمكن استخدام معلومات القياس عن بعد للوصول إلى أنظمة العملاء.
“اتخذت Pure Storage إجراءات فورية لمنع أي وصول غير مصرح به إلى مساحة العمل. بالإضافة إلى ذلك، لا نرى أي دليل على وجود نشاط غير عادي على عناصر أخرى من البنية التحتية النقية.
“تقوم شركة Pure بمراقبة أنظمة عملائنا ولم تجد أي نشاط غير عادي. نحن على اتصال حاليًا بالعملاء الذين لم يكتشفوا بالمثل نشاطًا غير عادي يستهدف أنظمتهم النقية.
“النتائج الأولية التي توصلنا إليها من شركة رائدة في مجال الأمن السيبراني التي شاركنا فيها تؤكد أيضًا صحة الاستنتاج الذي توصلنا إليه فيما يتعلق بالمعلومات الموجودة في مساحة العمل. تظل Pure Storage ملتزمة تمامًا بتوفير تحديثات شفافة وفي الوقت المناسب لعملائنا وسنواصل مراقبة هذا الوضع واستخدام هذا المنتدى للحصول على التحديثات المهمة.
وجاء الكشف عن بيور مجرد ساعات بعد أن نشر مانديانت معلومات جديدة على نطاق حادثة Snowflake، التي نسبتها إلى جهة تهديد تم تتبعها باسم UNC5537، ومن المحتمل أن تكون مكونة من قراصنة يتمركزون بشكل رئيسي في أمريكا الشمالية.
يشتبه الآن في قيام UNC5537 بإجراء حملة واسعة النطاق من عمليات الاقتحام لعملاء Snowflake، باستخدام بيانات الاعتماد المسروقة التي تم الحصول عليها في الغالب من استخدام البرامج الضارة لسرقة المعلومات.
وقالت شركة Mandiant إنه في جميع الهجمات التي كانت على علم بها، تمكنت UNC5537 من وضع يديها على البيانات لأن عملاء Snowflake أهملوا النظافة الأساسية لبيانات الاعتماد، مثل استخدام المصادقة متعددة العوامل (MFA). وقالت إنه في كثير من الحالات، فشل الضحايا أيضًا في تدوير بيانات الاعتماد أو تحديثها في الوقت المناسب، بينما تعرض آخرون للاختراق من قبل مقاولين خارجيين سُمح لهم بالاتصال بأنظمتهم باستخدام أجهزة الكمبيوتر الخاصة بهم.
لم يتناول Pure Storage هذه النقطة حتى وقت كتابة هذا التقرير.
لم يعد عدم وجود وزارة الخارجية خيارا
تشيستر ويسنيوسكي، المدير والمدير التنفيذي للتكنولوجيا الميداني العالمي في سوفوس، أعرب عن إحباطه من أن التدابير الأمنية الأساسية لأوراق الاعتماد لا تزال مهملة على نطاق واسع عندما تكون العواقب راسخة.
“تمامًا كما لا يمكنك شراء سيارة بدون حزام الأمان، لم يعد نشر MFA أمرًا اختياريًا. لا تزال بيانات الاعتماد المخترقة واحدة من أكثر الطرق انتشارًا التي يستخدمها المهاجمون لاختراق الأنظمة، وهو ما تدعمه النتائج الميدانية مرارًا وتكرارًا. الأحدث سوفوس تقرير العدو النشط قال ويسنيفسكي: “وجدنا أن بيانات الاعتماد المخترقة كانت السبب الجذري الأول للهجمات في عام 2023 – وكانت السبب الجذري لثلث جميع الهجمات منذ عام 2020”.
“إن ضمان نشر MFA على أي وجميع الحسابات التي تحتوي على بيانات حساسة ومهمة يجب أن يكون جهدًا تعاونيًا بين الشركات ومقدمي الخدمات الخاصين بها. يجب على الشركات تنفيذ برامج قوية للنظافة الأمنية السيبرانية لموظفيها، في حين يحتاج مقدمو الخدمات إلى فرض سياسات تدفع المؤسسات إلى تنفيذ أسلوب MFA عند استخدام منتجاتهم.
وأضاف: “كان أحد مجالات التركيز الستة الرئيسية لموردي البرامج الذين وقعوا على تعهد CISA الأخير بالتأمين حسب التصميم هو تحسين اعتماد MFA بين عملائهم. إنه هدف تؤمن به سوفوس بقوة، وكان أحد الأسباب وقعنا على التعهد. ونحن نشجع بائعي البرامج الآخرين على أن يفعلوا الشيء نفسه.”
