Zusammenfassung
- Mandiant berichtete, dass jeder Vorfall der Snowflake-Kampagne, den es direkt bearbeitete, auf kompromittierte Kundenanmeldedaten zurückzuführen war, und fand keine Hinweise darauf, dass unbefugter Zugriff auf eine Verletzung der Unternehmensumgebung von Snowflake zurückging. Der Kampagnenbericht ist unterhttps://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortionverfügbar.
- Die Kampagne stellte dennoch die Verantwortung des Anbieters auf die Probe, da Snowflake die Authentifizierungsoberflächen, Produktvoreinstellungen, Sicherheitsleitlinien, Kontotelemetrie, Netzwerkrichtlinien-Tools, Trust Center-Prüfungen und nach der Kampagne vorgenommene Änderungen kontrollierte, die kein einzelner Kunde allein vornehmen konnte.
- Überprüfbare Reparatur bedeutet messbare Veränderung: standardmäßige MFA für menschliche Benutzer in neuen Konten, strengere Passwortregeln, automatische Deaktivierung durchgesickerter Passwörter, Kunden-Evidenzpakete, Netzwerkursprungskontrollen und Einführungsmetriken, die die Risikominderung über die installierte Basis hinweg zeigen.
- Die Verantwortung des Kunden bleibt erheblich. Kunden kontrollierten die Benutzererstellung, Rollenvergabe, Passwortrotation, MFA-Aktivierung in bestehenden Konten, Zugang für Auftragnehmer, Netzwerk-Zulassungslisten, Datenminimierung, Exportberechtigungen und Untersuchungsbereitschaft.
Die Plattform wurde nicht als verletzt gezeigt; die Basislinie wurde als nachgiebig gezeigt
Die erste Disziplin besteht darin, die Kampagnengrenze exakt zu halten. Der Bericht von Mandiant vom Juni 2024 besagte, dass unbefugter Zugriff bei von ihnen bearbeiteten Vorfällen auf kompromittierte Kundenanmeldedaten zurückging, und dass sie keine Hinweise auf eine Verletzung der Unternehmensumgebung von Snowflake fanden. Snowflakes Kundenleitfaden, verstärkt durch CISA unterhttps://www.cisa.gov/news-events/alerts/2024/06/03/snowflake-recommends-customers-take-steps-prevent-unauthorized-access, wies Kunden ebenfalls an, unbefugten Benutzerzugriff zu untersuchen und Identitäts- und Netzwerkkontrollen zu stärken. Die geprüfte Aufzeichnung belegt keinen Snowflake-Plattform-Exploit, keine mandantenübergreifende Eskalation und keinen Diebstahl von Anbieter-Masteranmeldedaten.
Diese negative Feststellung ist wichtig, da sie die unmittelbare Reaktion formt. Ein Kunde sollte nicht auf einen Anbieter-Patch warten, wenn das aktive Problem ein gültiger Benutzeranmeldedatensatz ohne MFA, keine Netzwerk-Zulassungsliste und umfassende Rollenprivilegien ist. Der Kunde muss Anmeldedaten rotieren, Konten deaktivieren, Anmelde- und Abfrageverlauf prüfen, Ursprungsnetzwerke einschränken, Rollen überprüfen, Protokolle aufbewahren und bei Bedarf betroffene Personen oder Aufsichtsbehörden benachrichtigen.
Der gegenteilige Fehler ist zu sagen, der Anbieter habe keine Verantwortung gehabt, weil das erste Geheimnis den Kunden gehörte. Snowflake betrieb den Authentifizierungsendpunkt, der diese Passwörter akzeptierte. Es stellte die MFA-Fähigkeit bereit und entschied, wann das Standardverhalten geändert wurde. Es legte Telemetriefelder offen oder hielt sie zurück. Es stellte Netzwerkrichtlinien-Kontrollen und Trust Center-Ergebnisse bereit. Es konnte kundenübergreifende Signale sehen, die kein einzelner Mandant sehen konnte. Es konnte später einen Schutz gegen durchgesickerte Passwörter in den Dienst einbauen.
Das ist echte Kontrolle, auch wenn der Kunde das Konto besaß.
Snowflakes Jahresbericht für das Geschäftsjahr 2025 unterhttps://www.sec.gov/Archives/edgar/data/1640147/000164014725000052/snow-20250131.htmlegt die Position des Unternehmens zur gemeinsamen Verantwortung dar und beschreibt rechtliche, regulatorische und reputationsbezogene Folgen nach den Aktivitäten von 2024. Eine Einreichung ist eine Darstellung des Unternehmens, keine Entscheidung. Sie ist dennoch relevant, da Snowflake selbst offenlegte, dass die Kampagne das Geschäftsrisiko über jeden einzelnen Kundenmandanten hinaus beeinflusste. Geteilte Verantwortung wurde zu einem Thema eines börsennotierten Unternehmens.
Die Linse dieses Artikels ist daher nicht „Snowflake wurde verletzt“ oder „Kunden allein haben versagt“. Es ist überprüfbare Reparatur. Nachdem eine Kampagne ein vorhersehbares Muster von Passwortzugriff, veralteten Infostealer-Anmeldedaten und fehlenden Netzwerkeinschränkungen ausnutzt, benötigen Anbieter und Kunden den Nachweis, dass die nächste ähnliche Kampagne weniger gültige Anmeldedaten, weniger passwortgeschützte Sitzungen, weniger uneingeschränkte Ursprünge, bessere Warnungen und eine schnellere Bereitstellung von Beweisen haben wird.
...

