总结

  • 已确认的活动边界:Mandiant 将一个出于经济动机的攻击活动归因于 UNC5537,并指出其直接处理的每一起活动事件均追溯到被窃的客户凭证。调查未发现任何证据表明对客户账户的未授权访问源于 Snowflake 自身企业环境的入侵。Snowflake 同样表示,未发现平台存在漏洞、配置错误或遭到入侵并导致该活动的证据。
  • 观察到的控制链:受到影响的账户未启用多因素认证 (MFA),保留了历史信息窃取软件记录中暴露的凭证,且未设置网络允许列表。攻击者随即使用受支持的 Snowflake 客户端及 SQL 操作来枚举数据、暂存数据、压缩数据并进行下载。约 165 个组织被通知可能受到影响;该数字并非确认的入侵事件、受影响人数或记录数量。
  • 共同责任认定:客户负责控制其用户、角色、密码轮换、MFA 注册、网络策略、端点安全以及数据最小化。Snowflake 负责控制存在哪些保护措施、如何呈现及默认设置、平台能够洞察哪些跨客户信号,以及如何将警示和更严格的基础行为快速传递给现有用户群。这些责任是并行而非相互排斥的。
  • 主权发现:选择 Snowflake 区域决定了账户存储和计算所在的位置;但 Snowflake 的文档已明确说明,这并不限制用户访问。在此次活动中,一个有效身份可将区域存储的数据集转变为已下载的副本。缺乏身份、出口和证据控制的数据本地化,只是一项放置决策,而非完整的主权控制。

平台未被证明遭入侵,但服务关系受到考验

处理此案的首要准则是词汇。Snowflake 的客户实例与 Snowflake 自身的企业环境或共享生产平台并非同一事物。拥有有效凭证的人员可以进入某客户的账户,而无需跨越至其他租户、利用软件漏洞、获取提供商管理员账户,或破坏隔离客户的基础设施。公开证据支持客户账户遭入侵的说法,但不支持平台范围的技术入侵。

Mandiant 的UNC5537 活动报告在这一点上表述异常直接。在 Mandiant 自身处理的与该活动相关的每一起事件中,根本原因均为被窃的客户凭证。其调查未发现任何证据表明对客户账户的未授权访问源自 Snowflake 企业环境的入侵。Snowflake 自己的调查和强化通知同样将受影响的客户账户与生产平台加以区分,并向客户提供了查询和指标,用于调查自身环境。CISA 在2024 年 6 月 3 日的警报中重申了此指导。

这一否定性发现至关重要。将事件称为对 Snowflake 平台的入侵,可能暗示共享代码或基础设施中的缺陷打开了所有租户的大门,或者 Snowflake 丢失了可解锁客户账户的主凭证。已审阅的记录不支持任何一点。这也会模糊客户需要立即采取的行动:识别仅使用密码的用户、轮换凭证、检查登录和查询历史、限制网络、减少角色权限,并保存证据。

相反的错误则是,将平台未遭入侵视为不存在提供商问责问题。云服务并非一块客户随意放置比特的中立磁盘。Snowflake 构建并运营着接受凭证的认证端点、攻击者所使用的接口、处理其命令的查询引擎、记录会话的遥测数据,以及本可要求第二因素或限制网络来源的产品控制。Snowflake 还拥有每位客户无法单独掌握的跨客户可见性。一项决定性控制措施可由客户配置,这决定了谁有操作义务去配置它,但并未回答提供商的默认设置、警告、检测和执行,是否与驻留在其服务上的数据集中度相匹配。

Snowflake 2025 财年的10-K 表格正式确定了其立场。其中表示,Snowflake 负责平台及底层云基础设施的安全,而客户则选择并配置其环境的控制措施。它将 2024 年 5 月的访问事件归因于客户未能履行 MFA 和网络策略等义务,同时记录了面临的诉讼、监管调查、立法者询问、声誉损害以及赔偿争议的可能性。这是有关 Snowflake 所述模式及业务风险敞口的重要公司证据,但并非将每项责任或法律索赔都归于客户方的独立裁决。

因此,有用的问题比“谁被入侵了?”更窄,又比“谁的密码被盗了?”更广。问题是:从被盗的机密到数据被下载的每一步,哪个行为人能够阻止、检测、中断、重建或警示该行为?问责紧随对每一步骤的控制。

该活动将旧的端点盗窃与当前的云权限结合了起来

Mandiant 于 2024 年 4 月首次获得关于后来被追溯到某受害者 Snowflake 实例的数据库记录的情报。该受害者委托 Mandiant 进行调查,后者得出的结论是,入侵者使用了此前由信息窃取软件窃取的凭证。相关账户未启用 MFA。5 月 22 日,在确认存在指向一场更大规模活动的情报后,Mandiant 联系了 Snowflake,并开始通知潜在受害者。Snowflake 于 5 月 30 日发布了客户检测和强化指南。到 6 月发布报告时,Mandiant 和 Snowflake 已通知了约 165 个可能受到影响的组织。

最后这句话中的每个术语都需防止被夸大。“约”表示一个估计值。“可能受到影响”描述的是一个通知人群,而非 165 项已完成取证的结果。“组织”并非指账户、数据库、个人或记录。某些组织可能运营着多个 Snowflake 账户,而一个账户可能持有关于规模更大人群的数据。报告并未提供全活动范围的已确认组织总数、受影响个人数、导出的字节数或勒索付款金额。

凭证历史解释了为何 2024 年的云登录可能始于数年前的端点感染。Mandiant 发现 UNC5537 使用的大多数凭证存在于历史信息窃取软件的输出中,最早观察到的相关感染发生在 2020 年 11 月。该攻击者利用的账户中,至少有 79.7% 此前曾发生过凭证暴露。该百分比适用于攻击者在所分析活动中使用的账户,而非所有 Snowflake 客户或 165 家被通知的组织。

三个条件反复将被泄露的机密转化为有效的访问权限。受影响的账户未配置 MFA。在信息窃取软件记录中发现的密码仍然有效,有时持续数年之久。受影响的客户实例缺乏网络允许列表,无法将连接限制在可信来源。这些条件均非一种新颖的利用方式。它们共同构成了一条持久的授权路径:获取账户定位符、用户名和仍然有效的密码;从攻击者控制的系统连接;获取会话;继承分配的角色;查询该角色可以读取的任何内容。

端点维度也远比通常的员工笔记本电脑叙事更加分散。在几项调查中,Mandiant 在承包商系统中发现了早期的信息窃取软件感染,而这些系统也用于个人活动,包括游戏或盗版软件下载。承包商设备可能处于客户受管端点群之外,同时持有多个客户的凭证。它还可能持有一个管理员账户,因为专业承包商通常受雇构建或运营数据平台。创建该用户的客户仍对身份及其特权负责,但暴露情况可能对客户自身的端点工具不可见。

这是一个云依赖倍增器。凭证从某个端点被盗,该端点可能完全在 Snowflake 或数据所有者群之外。凭证被一个全球服务所接受。角色可能触及一个整合了多个业务系统多年记录的合并型数据仓库。攻击者不再需要逐个入侵这些源系统。当初使数据仓库对客户有价值的分析价值,也使成功的访问对勒索者具有价值。

攻击者对窃取、购买、测试和使用凭证,未经授权进入客户环境,获取数据,并试图出售或勒索负有直接责任。描述使这些犯罪行为成为可能的控制失效,并不会减轻这一责任。这解释了为何同样的犯罪技术能够大规模奏效,以及何处可以减少再次发生的可能性。

受支持的功能成为了数据外泄途径

该活动并未止于认证。Mandiant 观察到通过 Snowsight、SnowSQL、驱动程序和数据库工具进行的访问。攻击者列举了用户、角色、会话、组织名称、数据库、模式和表。它使用熟悉的 SQL 操作来选择数据、创建临时暂存区、将查询输出复制到压缩文件中,并将这些文件检索到本地计算机。在若干实例中,在不同的客户环境中出现了类似的命令。

这一序列使该事件可被解读为在未授权身份下使用的普通功能:

  1. 一个有效的客户用户名和密码建立了会话。
  2. 该会话继承了客户分配的角色和对象特权。
  3. 侦察活动识别出有价值的表和可用的暂存区。
  4. 查询选择了角色被允许读取的记录。
  5. 临时暂存区和COPY INTO将结果转换为可下载文件。
  6. GET将文件移至攻击者控制的客户端。

此链条中没有任何步骤需要数据库发生故障。正因如此,静态加密虽属必要,却并非决定性控制措施。Snowflake 的端到端加密文档指出,客户数据在静态和 TLS 传输中均被加密,但也说明在执行转换或表操作期间,Snowflake 会解密数据,并允许用户卸载和下载结果。加密可保护文件和传输免受缺乏授权或密钥的各方的侵害,但无法阻止具有被允许角色的已接受身份要求服务返回可读结果。

同样的原则也适用于客户管理密钥。密钥控制可以应对提供商、存储和撤销场景,但运行中的账户必须使用其密钥层次结构来服务于授权查询。除非密钥策略与一个会拒绝该会话或操作的单独决策相关联,否则数据库无法区分账户所有者与已满足所有者所配置认证策略的入侵者。

因此,角色设计控制了登录后的影响半径。Snowflake 当前的访问控制模型支持基于角色和自主访问控制、所有权、角色层次结构及对象特权。一个仅分配给窄众数据库或视图的凭证,与一个持有ACCOUNTADMIN、广泛仓库使用权限或对原始数据集的 select 访问权限的凭证,会造成截然不同的后果。由集成使用的服务帐户不应继承人类管理员的探索性权限。承包商的临时角色应在聘用结束时到期,而非保持休眠状态且持有一个有效密码。

数据保护策略甚至可以在角色遭入侵时缩小结果范围。Snowflake 的敏感数据分类文档将个人和敏感列的发现与屏蔽和行访问策略联系起来。这是对当前能力的描述,而非证明每个受影响客户在 2024 年均已对其数据进行分类或屏蔽的证据。它确立了一个设计问题:客户是否将完整的历史表暴露给了仅需要聚合、近期分区、令牌化字段或批准视图的身份?

导出本身是一项特权业务功能,应作为特权加以管理。数据仓库常常因合法的管道、备份、模型训练和下游系统而需要批量卸载。全面禁止通常不现实。但是,创建暂存区、卸载异常大的结果,或使用不熟悉的客户端和网络来源,应当是可观察的;对于高风险数据集,可能有必要设置审批、速率限制、目标限制、短期权限提升或单独的导出角色。该活动的命令足够常规,可以执行,但在具体情景下又足够异常,值得做出快速安全决策。

客户掌握设置,而 Snowflake 掌握基线

MFA 是最尖锐的共同责任测试,因为每一方都可以陈述一个真实事实。客户管理员有能力和预期启用它。Snowflake 自 2015 年以来提供 MFA,自 2016 年以来提供网络策略。然而,2024 年成功入侵的账户无需 MFA 即能认证,这意味着该服务的有效基线为这些账户允许了仅密码路径。

可用性与强制执行之间的区别并非语义上的。一项安全功能可以是免费的、文档化的、被推荐的,但在关键会话中仍然缺席。管理员面对旧有集成、非交互式服务用户、承包商、紧急访问账户、多个客户端以及锁定的担忧。这些约束解释了采纳摩擦,却无法成为让特权人类访问依赖于可重用密码的正当理由。它们也为提供商提供了构建迁移工具、将人类和服务身份分离、并使例外显式化所需的信息。

此次活动后,Snowflake 的公开方向从推荐转向了更强的默认设置。其 2024 年 7 月的安全设计承诺公告强调了 MFA 策略控制和信任中心检查。2024 年 9 月,Snowflake 表示MFA 将默认强制执行,适用于 2024 年 10 月起在新建账户中的人类用户,同时建议对人类用户采用通过身份提供商的 MFA 的单点登录 (SSO),对服务采用 OAuth 或密钥对认证。新账户与现有账户之间的区别至关重要。安全默认设置保护未来的创建;它不会自动淘汰已安装基础中所有继承下来的密码路径。

Snowflake 后来引入了泄露密码保护,它利用威胁情报源,在隐私保护流程中测试报告的泄露密码,并在密码被确认为仍然有效时将其禁用。这一提供商侧的控制直接解决了 UNC5537 的优势之一:仍可使用的旧信息窃取软件凭证。这也证明了共同责任可以演变。客户仍须管理身份和轮换,但提供商可以利用跨服务情报,让被盗密码在每位客户独立发现前便失效。

当前的认证策略文档允许管理员控制允许的方法和客户端,并要求在账户或用户级别启用 MFA。它还警告称,客户端类型限制属于尽力而为,不应作为唯一的安全边界。当前的密钥对指南为服务用户提供了静态密码的替代方案。这些页面描述了截至 2026 年的可用能力;不得回溯解读为 2024 年 4 月每位客户确切的功能、默认设置或执行状态之证明。

标准有助于解释为何提供商的默认设置应纳入分析。NIST 当前的认证和认证器管理指南将密码视为不可抵抗重放,并将钓鱼抵抗定义为不依赖于用户警觉性的协议属性。2024 年的CISA 安全设计承诺特别指出,默认 MFA、持续的产品提醒、基线 SSO 支持以及发布采纳指标,是软件制造商可以显著提高 MFA 使用率的方式。Snowflake 在活动后签署了该自愿承诺。该承诺并非对 Snowflake 2024 年设计合法性的裁决,但它否定了“提供一个复选框便穷尽了提供商角色”的观念。

应负责任的基线需要区分身份类型。人类管理员应使用抗钓鱼的 MFA 或强管理的联邦身份。服务工作负载应使用可限定范围、轮换且可归属的工作负载凭证,而无需假装一个机器人可以回应推送通知。紧急访问应稀少、监控、限时且经过测试。承包商身份应有负责人、到期日、经批准的设备姿态,且不得跨客户重用凭证。每个例外都应出现在仪表板上,其分母是所有身份,而不仅仅是活跃员工。

网络策略是第二道门,而非身份的替代品

Mandiant 列出的第三个重复出现因素是缺少网络允许列表。因此,有效凭证可从毫无业务理由接触客户仓库的基础设施使用。网络限制虽无法修复被盗密码,但可令来自不受信任来源的该密码无法奏效。

Snowflake 当前的网络策略文档明确了默认行为:若无策略,用户可从任何计算机或设备连接。客户可允许或阻止 IP 范围及私有端点,在账户或用户级别应用控制,并通过额外配置限制内部暂存区访问。私有连接和公共访问控制可进一步加固高敏感性账户。

客户了解其经批准的办公室、云工作负载、VPN、承包商和集成端点,因此客户必须定义可用的允许列表。Snowflake 无法在不中断业务的情况下推断每个合法来源。然而,提供商控制着默认可达性、策略语法、模拟更改的能力、锁死保护、日志记录,以及管理员在无账户策略时是否收到警告。平台可以在保留客户选择权的同时,使不受限制的公共访问成为可见、有时限的例外,而非沉默的常态。

网络规则同样存在局限。攻击者可能从经批准的承包商设备获取会话、通过允许的企业 VPN 进行路由、入侵允许云内的工作负载,或在认证后窃取令牌。大型企业的出口地址可能变化,使静态列表难以维护。私有连接可能排除不支持它的 SaaS 工具。这些是结合网络控制与强身份及行为检测的理由,而非省略它们的理由。

该活动展示了独立门控的价值。密码轮换本可使历史凭证失效。MFA 本可要求另一因素。网络策略本可拒绝不熟悉的来源。最小特权本可减少可见数据。导出控制本可中断暂存。检测本可缩短停留时间。没有任何单一措施是完美的;攻击者正是在数项措施同时缺失或宽松处得手。

就问责而言,每道门都需要一个负责人和一个有效性衡量标准。“支持网络策略”是一项产品事实。“每个生产账户都拥有覆盖服务及内部暂存区的经过测试的策略”是一项运营成果。“MFA 可用”是一项产品事实。“任何特权人类用户都无法仅凭可重用密码建立会话”是一项成果。只有当双方能够展示其边界上的成果时,共同责任才具有意义。

提供商看到了一场活动,而每位客户只能将其视为一起事件

某一位客户可以检查自身失败和成功的登录、客户端、IP 地址、查询文本、角色、暂存区和数据移动。Snowflake 可以跨账户关联模式:相同的基础设施、不寻常的客户端、重复的侦察、类似的暂存命令、仅密码登录的激增,或与威胁情报源匹配的凭证。这种不对称性是提供商最重要的非合同责任,它源于大规模运营服务。

Snowflake 当前的LOGIN_HISTORY 视图保留了一年的登录尝试记录,包括用户、来源 IP、报告的客户端、第一和第二因素、成功与否以及相关风险详情,且具有文档化的延迟。QUERY_HISTORY保留了一年的查询活动,并将查询与认证事件、会话、用户、角色、文本、结果字节数、卸载行数及通过网络发送的字节数关联起来。企业客户可以使用ACCESS_HISTORY重构所访问的表、视图、列、暂存区、策略和修改过的对象。这些模式为高质量调查提供了原材料。

原始历史并不等同于检测。客户必须授予分析师访问权限,导出或查询数据,理解正常行为,编写警报,进行路由,在需要时超出原生保留窗口进行保留,并配备响应人员。两小时的遥测延迟对回溯审查或许可接受,但对某些批量导出决策而言则太慢。列级访问历史的企业版边界也可能影响客户精确界定暴露范围的能力。这些产品和运营事实应在采购期间进行测试,而非在数据失窃后才被发现。

Snowflake 当前的信任中心通过安全与威胁情报扫描器,检查 MFA 注册、账户网络策略、特权角色、休眠用户、风险登录、异常 IP 地址及大规模数据传输。当前文档还说明了局限性:某些程序包必须启用;某些检测可能在一小时内到达;已配置策略的存在并不证明其内容达到了预期目标。同样,当前能力并非 2024 年春季某位客户或 Snowflake 检测到了什么的证据,而是表明一旦理解了跨客户故障模式,提供商能够将哪些能力产品化。

预警系统应在两个层面运作。在租户层面,客户需要即时、可导出的事件以及阻止或暂停活动的控制措施。在提供商层面,Snowflake 需要活动分析能力及一套成熟的流程,以向客户发送附有充分证据的通知,从而采取行动。一份有用的通知应包含账户和用户标识符、UTC 时间戳、来源基础设施、认证因素、会话和查询 ID、命令、触碰到的对象和列、暂存活动、估计的传输量、遏制状态及置信度。“可能受到影响”仅当后续附有解决该可能性所需的证据时,才是一个适当的起始标签。

提供商干预也需要治理。自动阻止客户会话可能中断生产,并可能超出提供商的合同权限。不采取行动则可能导致盗窃持续。因此,设计应预先定义风险阈值、临时冻结、客户升级渠道、紧急联系人和快速覆盖流程。客户应指定可在任何时间接收高严重度警报并授权暂停的人员。提供商应衡量从跨账户信号出现到联系客户的时间、遏制所用时间,以及能够检索完整证据包的通知客户比例。

数据本地化并未使访问本地化

Snowflake 推广并记录区域部署,因为客户有延迟、弹性、隐私、监管和主权要求。Snowflake 的支持区域文档指出,每个账户托管在一个区域中,并且数据保留在该区域,除非用户显式地复制、移动或复制它。同一页面包含了一个关键的局限性:区域决定数据的存储位置和计算资源的供应位置,它们并不限制用户对 Snowflake 的访问。

这一区别将 UNC5537 链条转变为一个主权案例。在入侵之前,客户的表可能已在选定的国家或区域云位置上存储和处理。认证成功后,攻击者可从其他地方查询该区域账户,暂存结果并将其下载到客户端。Mandiant 观察到了从临时暂存区本地检索的技术模式。公开的活动记录并未确立每位受害者的来源国、目的国或法律传输状态,因此无法支持任何关于非法跨境传输的普遍性主张。然而,该架构表明,仅凭存储本地化无法强制用户本地化。

跨区域共享和复制创建了一条独立的合法移动路径。Snowflake 的跨区域共享指南要求组织在将数据复制到不同区域或国家之前,确认法律和监管限制。这是在客户管理下的计划内移动。基于凭证的导出则不同:它可以在不改变源账户位置的情况下,在选定环境之外创建一个不受控制的副本。一份仅记录源区域的数据清单会继续显示“欧盟”或“加拿大”,即使攻击者已移除了一份副本。

因此,数据主权至少包括四个层面:

  • 放置:权威存储和计算资源被配置的位置。
  • 访问:哪些人类和机器身份可以从哪些设备、网络和司法管辖区进行连接。
  • 移动:哪些查询、卸载、共享、复制、连接器和下载可以创建另一份副本。
  • 证据与补救:组织能否证明访问源自何处、什么离开了、涉及哪些人员或受监管记录,以及它能够多快遏制和通知。

提供商控制着这四个层面中重要的部分,即使客户选择策略也是如此。它提供区域并将账户数据保留其中。它认证请求并公开网络控制。它执行导出命令并记录查询元数据。它拥有跨客户威胁可见性,并能禁用泄露的密码。客户决定其合法基础、数据类别、角色、允许的来源、屏蔽、保留和批准的数据移动。没有这些补充控制的区域性托管承诺,可以满足一项狭窄的数据中心位置要求,同时将实际复制数据的权限暴露给全球。

这也是为什么加密和主权不应被混为一谈。加密可以保护存储对象免受基础设施运营商或未授权的存储层读取者的侵害。一个必须分析该对象的应用程序必然会使数据对授权查询上下文可用。如果身份保证和角色范围薄弱,加密性的本地化可以与操作性数据外泄共存。

客户披露显示了不同的后果,而非一起统一的入侵事件

该活动经常通过知名客户名称来描述,但每位客户的公开记录有其自身的范围、日期、数据、术语和置信度。将一家公司的事实转移至另一家,或将犯罪论坛的声称转换为一个经验证的人群,是不安全的。

Live Nation 于 2024 年 5 月 31 日提交的8-K 表格称,于 5 月 20 日在包含公司数据(主要来自 Ticketmaster)的第三方云数据库环境中发现了未授权活动。其表示,5 月 27 日,一名犯罪行为人出售其所称的公司用户数据,而 Live Nation 正在酌情通知执法部门、监管机构和用户。该文件未指明 Snowflake,也未提供确认的受影响人数,或解释认证路径。

Ticketmaster 加拿大的事件页面给出了不同详细程度的信息。它描述了由一个第三方数据服务提供商托管的隔离云数据库遭未授权访问,称该数据库包含部分北美购票者的有限个人信息,并列出了可能的字段,包括电子邮件、电话号码、加密的卡信息以及其他客户提供的信息。其表示 Ticketmaster 客户账户未受影响。最后一个边界很重要:后端数据仓库的入侵,并非攻击者获得了每位用户的 Ticketmaster 登录凭证或可通过消费者账户进行交易的证据。

加拿大隐私专员办公室 2025 年 10 月的议会问题说明书,将 Snowflake 确认为 Ticketmaster 使用的第三方提供商,给出 Ticketmaster 加拿大的事件窗口为 2024 年 4 月 2 日至 5 月 18 日,并表示包括加拿大人在内的数百万人的个人信息被卷入。它还表示调查仍在进行中,并且根据《个人信息保护与电子文件法案》(PIPEDA),作为数据控制者的 Ticketmaster 加拿大是受调查实体。这是有用的监管背景,但并非一项解决保障措施的充分性、通知时机或责任的最终裁决。

AT&T 于 2024 年 7 月 12 日提交的8-K 表格,说明了即使在事件被一同讨论时,源边界为何仍然重要。AT&T 表示,一名行为人在第三方云平台上非法访问了 AT&T 的工作区,并在 4 月 14 日至 4 月 25 日期间窃取了文件。这些文件包含了 2022 年特定时段和 2023 年某一天内几乎所有 AT&T 无线客户及相关移动虚拟网络运营商客户的通话和文字交互记录。AT&T 表示,这些文件不包含通话或文字内容、社会安全号码、出生日期或 AT&T 使用术语所指的其他个人信息。该文件本身并未提及 Snowflake 或 UNC5537。它支持 AT&T 的事件事实,而非自身的一项活动归因。

这些记录产生了四条纪律规则。第一,仅将某客户的文件用于该客户。第二,区分数据库、组织账户和消费者登录。第三,区分数据字段与由其代表的人数。第四,在影响旁边保留否定事实,如“无消息内容”或“消费者账户未受影响”。当分析扩大了戏剧性主张而丢弃了限定性主张时,问责就变得不那么可信。

客户仍对其授权委托的数据和身份负责

共同责任的客户一侧是巨大的。组织创建或批准了 Snowflake 用户,选择了认证路径,分配了角色,加载了数据,保留了历史记录,选择了区域,启用了集成,并决定了哪些员工和承包商可以查询数据仓库。它还持有与数据中所代表个体的首要关系,并且通常根据适用的隐私法保留控制者的职责。

客户本可以在多个节点中断观察到的活动。它可以轮换端点暴露后的密码,禁止仅密码的服务帐户,要求人类用户使用 MFA,通过受控的身份提供商进行联邦化访问,限制网络,使承包商用户过期,减少角色授予,分类并屏蔽敏感字段,隔离导出特权,监控登录和查询历史,并演练云提供商通知。对于受监管或高影响数据集,这些是基线运营职责,而非委托给采购的可选增强功能。

端点和承包商治理应获得特别关注。拥有高影响云角色的用户不应从不受管理的个人电脑进行认证。承包商应在可行的情况下使用客户控制的虚拟桌面或具有端点监控的设备。其身份应针对每位客户是唯一的,与一位担保人关联,并自动过期。组织应在凭证暴露信息源中搜索其 Snowflake 账户模式,并在证据出现时强制轮换,而无需等待确认被滥用。

最小特权必须针对数据而非职位头衔进行测试。“分析师”可能听起来非管理性,但持有客户、员工或交易表中每一行的 select 访问权限。角色审查应询问哪些行和列可被返回、是否需要原始标识符、批量结果集是否可写入暂存区,以及该身份是否可创建新凭证或集成。在该角色下运行示例查询,比一个干净的表面角色名称更具证明力。

客户还拥有响应准备的责任。他们应能够将 Snowflake 用户映射到员工或承包商,将一条查询映射到受影响的数据主体,将一次导出映射到司法管辖区和通知分析。原生的一年历史记录对于更长的法律保留期或延迟发现可能不足,因此高风险客户应将相关事件流式传输到独立的安全存储。提供商警报需要一条经过测试的路径,通往客户安全团队、隐私办公室、业务负责人和执行决策者。

NIST 的网络安全框架供应链指南建议根据关键性定义并沟通供应商要求。应用于此,Snowflake 客户应在合同中规定事件通知时限、证据字段、保留、支持升级、区域处理、子处理者可见性、控制变更通知和保证访问权。它还应为其数据功能维护一份退出或隔离计划,这些功能的丧失或入侵将不可容忍。共同责任应被写成可测试的接口,而非一段仅在事件后才出现的段落。

Snowflake 仍对服务层面的风险降低负责

Snowflake 不控制承包商个人设备上的恶意软件,也不控制客户让 MFA 保持禁用状态的决定。它确实控制着一个旧密码能否继续作为唯一因素,不受限制的来源是否是无声的默认,有风险的配置是否产生持续性警告,以及提供商在观察到跨客户模式后做了什么。

在此案中,提供商的问责包含六个部分。

安全基线。人类特权访问不应仅依赖一个可重用密码。服务身份应有一个独立类型和受支持的非密码方法。新的默认设置应通过分阶段强制执行、显式例外和迁移帮助抵达现有高风险账户,而不仅仅是保护新租户。

配置可见性。提供商应向安全管理员展示完整的分母:未使用 MFA 的人类用户、使用密码的旧服务用户、休眠账户、无网络限制的用户、特权角色,以及允许公共入口的账户。发现结果应在组织级别可见,并可导出用于审计。

跨客户检测。重复使用的基础设施、泄露的凭证、异常客户端、侦察序列、临时暂存区创建和大规模导出可以形成活动信号。提供商应在服务层面进行检测,联系可能的受害者,并定义何时高置信度活动会触发临时阻断。

可操作的遥测数据。客户需要认证、查询、对象、暂存区和传输方面的证据,并具有足够的保留期和足够低的延迟以遏制活跃的盗窃行为。更高保真度的证据,不应在服务存储最高影响数据的地方恰好无法获得。

警告与协调。客户警报必须通过一条已知的紧急路由发送,并携带证据,而不仅仅是建议去检查日志。提供商应跟踪确认、遏制和重复暴露情况,并应支持执法和监管机构请求,而无需将不确定的观察结果折叠为确认的受害人数。

事件后验证。已宣布的功能和默认设置需要采纳和有效性衡量标准。Snowflake 后续朝向默认 MFA、泄露密码禁用、信任中心发现结果以及更强身份类型的变动,均针对所观察到的路径。剩下的问责问题是覆盖范围:哪些用户和客户端实际上受到保护,还存在哪些例外,以及一项控制措施阻止真实或模拟尝试的频率如何?

这种责任分配并未使 Snowflake 成为每个客户数据集的数据控制者,也没有使提供商对每项客户配置负责。它承认一家云公司通过集中数据并运营安全边界而获利。规模创造了只有提供商才能履行的职责,尤其是跨租户关联和基线工程。

后来的诉讼考验了同样的边界,但尚未解决它

Snowflake 及受影响公司在此事件后面临合并的民事诉讼。在 2025 年 10 月 29 日的一项联邦法院命令中,蒙大拿州联邦地区法院认为,金融机构原告已充分主张针对 Snowflake 和 Ticketmaster 的某些过失理论,足以驳回驳回动议。该法院将所谓的默认 MFA 和可预见性视为在该程序阶段与义务、违约和因果关系相关。

该命令并非一项认定 Snowflake 或 Ticketmaster 存在过失的审判裁决。在驳回动议中,法院测试的是充分主张的指控是否陈述了一项貌似合理的索赔主张;它并未解决存在争议的证据,确定每位原告的最终事件机制或分配损害赔偿。Snowflake 对这些指控提出异议,并辩称客户未能实施 MFA、网络策略和其他保障措施是造成损害的原因。该命令之所以重要,是因为它表明,将 MFA 描述为客户设置,并未自动终结每项提供商义务主张。它并非最终实体案卷的替代品。

加拿大隐私调查承担了不同的责任分配。OPC 表示,Ticketmaster 加拿大仍是控制者,是受到调查的实体,而该办公室联系了 Snowflake 以获取信息。这反映了一项常见的隐私原则:外包存储并不外包控制者的保护和通知义务。这并不意味着服务提供商自身没有合同、技术或法定义务。

Snowflake 自己的 10-K 表承认了众多的诉讼、监管调查和立法者询问,但未报告最终统一的责任分配。截至发布日期,此处审阅的公开来源不支持宣布 Snowflake 被法律上免除责任、每家客户在法律上有过错,或一家最终法院或监管机构已采纳本文的操作性责任分配。

操作性问责可以在最终责任认定之前进行评估。仅密码访问是否可预见?是的。客户是否可以要求 MFA 和网络策略?是的。Snowflake 是否可以设计默认设置并检测跨客户活动?是的。犯罪分子是否故意利用了由此产生的路径?是的。这些主张可以共存。侵权、合同、隐私和证券法可能会根据司法管辖区和原告而不同地分配后果,但工程实践不应等待某个口号获胜。

一项可衡量的共同责任测试

最强有力的回应并非另一张一边写着“客户”、一边写着“提供商”的图示,而是一套其覆盖范围和失效行为可被展示的控制措施。

控制问题客户证据提供商证据
人类用户能否仅使用密码?所有人类用户清单、因素和 IdP 策略、例外负责人和到期日强制的默认设置、按账户年龄和客户端的覆盖率、被阻止的仅密码尝试
服务身份能否使用人类密码?工作负载清单、密钥或 OAuth 轮换、负责人、角色和网络范围独立服务类型、密码禁止、迁移和兼容性指标
被盗凭证能否从任何地方连接?经测试的账户和用户网络策略、私有端点覆盖率、批准的例外对不受限制账户的警告、策略模拟、防锁定的强制执行、恶意来源阻止
一个用户能否读取或导出过多数据?角色到数据测试、屏蔽、行过滤、导出分离和审批细粒度特权、暂存区控制、传输遥测、高风险导出检测
活跃的盗窃能否被迅速发现?SIEM 规则、人员配备的路由、演练结果、独立保留跨账户分析、检测延迟、事件完整性、紧急联系人成功率
暴露情况能否被重构?身份所有权、数据主体映射、法律手册、保留的日志会话到查询的链接、对象和列历史、暂存区和传输证据、租户证据包
区域账户是否执行主权?批准的访问司法管辖区、移动登记、复制和连接器审查区域承诺、来源和目的地证据、出口控制、跨区域警告
补救措施是否在现实中运作?已关闭的发现项、老化例外、抽样测试采用率指标、控制触发指标、误报和覆盖审查

董事会应收到成果而非功能清单。有用的衡量标准包括:受抗钓鱼 MFA 保护的人类用户百分比、具备密码能力的服务用户数量、每个紧急访问例外的存续时间、拥有经测试网络策略的账户百分比、已过期的特权承包商身份数量、对不熟悉来源发出警报的中位时间、暂停高可信度会话所需时间,以及生成字段级暴露包所需时间。

Snowflake 应在不暴露客户的情况下,发布总体的进展。CISA 的承诺明确设想按用户和 MFA 类型公开采纳统计信息。声称“MFA 可用”,不如随时间的仅密码登录分布情况有信息量。声称“信任中心已启用”,不如有多少关键发现项在规定的期限后仍然敞开有信息量。声称“已通知可疑客户”,不如通知延迟和证据包完整性有信息量。

客户也应要求自身具备同样的严谨性。提供商无法拯救一个创建宽泛角色、忽视发现项、保留旧的承包商用户且无人在紧急联系人处应答的组织。更强默认设置的目的是,减少可预见的疏忽成为大规模数据失窃的可能性,而非将对客户安全的所有权转移给 Snowflake。

公开记录仍未确立的事实

证据足够强,可以重现一项活动模式,但不足以说明每位受害者的每起事件。

公开记录未识别所有被通知的组织,未确认所有 165 家均遭受了未经授权访问,也未提供最终的全活动范围的受影响个人、表、记录或已下载字节数总计。它未显示哪些受害者支付了勒索要求,或承诺的删除是否发生。

它未公布每家组织的用户类型、角色层次结构、MFA 历史、网络配置、端点所有者、会话序列、访问的列或导出量。来自若干调查的承包商设备发现结果不应被分配到每位受害者身上。79.7% 的凭证暴露统计数据不应被转换为受害者百分比。

它未确立软件漏洞、跨租户逃逸、Snowflake 生产平台遭入侵、提供商主凭证失窃,或对所有 Snowflake 客户的访问。观察到的使用受支持客户端和命令是凭证滥用的证据,而非产品代码被利用的证明。

它未证明在每起事件中区域数据均跨越了国界。该架构允许远程访问和本地下载;合法的传输分析需要每客户的来源、目的、数据主体、合同和司法管辖区事实。

它不允许将 Ticketmaster 的可能字段、AT&T 的通话详情范围或任何犯罪论坛的计数泛化到其他客户。Live Nation 的文件未提及 Snowflake。AT&T 的文件未提及 Snowflake 或 UNC5537。外部关联可能与进一步调查相关,但文件应被引用为它们实际所确立的内容。

最后,Snowflake 当前的文档未证明 2024 年 4 月和 5 月时控制措施的运行情况。后来默认 MFA、泄露密码保护、信任中心检测、认证策略和身份变更或许能够降低再次发生的可能性,但关于采纳情况、例外覆盖率、检测性能和独立有效性的公开证据较功能描述更为有限。

共同责任必须在一个建议被忽略的时刻后依然存续

Snowflake 活动的最佳理解方式并非两种绝对叙事之间的竞赛。一种叙事称平台遭入侵,仅提供商失利。证据不支持此说法。另一种称客户丢失了密码,因此提供商的问题已终结。这在技术上是不完整的。

UNC5537 找到了端点入侵与云集中之间的一个可规模化交汇点。历史密码依然有效。人类和服务身份并不总是分离的。MFA 和网络门控缺席。受支持的查询和暂存功能快速移动数据。提供商能够跨租户看到一个模式,而每位客户仅看到自己的账户。一个选定的存储区域可以将源数据保持在现场,即使一个已认证的会话在其他地方创建了一份不受控制的副本。

客户负有最清晰的义务来管理其用户、角色、端点、承包商和数据。Snowflake 负有最清晰的义务来保护和观察服务边界,使高价值保护变得容易且日益不可避免,检测活动行为,并提供证据。攻击者对犯罪行为负有直接责任。监管机构和法院必须根据适用于每个组织的事实和法律来评估法律义务。这些分配是重叠的,因为控制措施也是重叠的。

活动后的产品方向含蓄地承认了能力与成果之间的差距。针对新人类用户的默认 MFA、泄露密码禁用、更强的认证策略、服务用户迁移和信任中心发现结果,将安全推向了更接近提供商的基线。它们并未抹去客户责任。它们使共享系统不那么依赖于每一位管理员在被盗密码被测试之前,发现并启用每一项正确的选项。

这就是一个云数据平台持久的问责测试。假设一名客户将错过一个警告,一台承包商设备将被感染,一个凭证将保持有效,而一个攻击者将使用普通的产品的功能。然后追问:默认设置是否阻止了登录,另一道门是否拒绝了来源,角色是否揭示了很少的数据,导出是否触发了干预,以及证据是否及时送达客户?共同责任只有在服务在一方可预见的错误之后仍可防御,且双方都能证明他们在该错误前后做了什么时,才是可信的。

排版

排版是安排文字以使书面语言清晰易读且具有视觉吸引力的艺术和技术。它涉及选择字体、字号、行长、行距和字距。

  • 排版起源于 15 世纪约翰内斯·古登堡发明的活字印刷术。
  • 关键元素包括字体选择、字距调整、字偶间距和行距。
  • 良好的排版能增强可读性,并在设计中传达情绪或基调。