近日,桑坦德银行和 Ticketmaster 连连发生数据泄露。桑坦德银行是最大的欧元银行之一,在未经授权的攻击者访问其第三方服务提供商之一托管的数据库后,该银行遭受了数据泄露。Ticketmaster 作为美国最大票务网站也遭到了黑客攻击,所使用的第三方云端数据库环境内存在未经授权的活动。黑客集团声称已取得大量 Ticketmaster 用户数据,包括姓名、地址、电话号码及其他详细资讯和信用卡数据。然而,Snowflake 反驳了这些说法,称最近的入侵大概率因为客户设置的登录安全方式过于简单所导致的可能性比较大。企业该如何防患于未然,避免类似事故的发生呢?

01.攻击路径

据网络安全公司 HudsonRock 称,威胁行为者使用 Snowflake 的云存储服务获取了其他知名公司的数据。为了做到这一点,攻击者使用窃取的凭证登录 Snowflake 员工的 ServiceNow 帐户,从而绕过了 Okta 的安全身份验证流程。接下来,攻击者可以生成会话令牌来窃取属于 Snowflake 客户的数据。整个攻击路径听起来过于玄幻。一个凭证就可能导致数百家使用 Snowflake 存储数据的公司数据被泄露。

02.Snowflake 给出解释

  • 没有看到有人通过 snow 获得了大量账户登录验证授权。
  • Snow 有个 demo 账号被泄露了,但是和上面讲的那个攻击路径没有关系,是一般的用户名、密码泄露所导致的。
  • 看到有人通过窃取或者非法购买验证授权再登陆 Snow 。Snowflake 称已将攻击情况通知所有客户,其正在调查针对其部分账户的攻击“增加”的情况。针对第三点,Snow 也给用户的建议是尽量将传统的单因素认证(SFA)升级为多因素认证( MFA),简单来说就是登录账户要用户名 + 密码和短信认证,总是要比单纯的用户名 + 密码要安全。

03.持续自适应多因素认证成为企业最优选择

持续自适应 MFA(Continuous Adaptive Multi-Factor Authentication,CAMFA) 是基于持续自适应信任方法的一种安全身份验证方法,它结合了多个身份验证因素(如密码、生物识别、硬件令牌等),并在用户的访问生命周期过程中,使用行为风险评估技术对用户的关键行为进行持续地实时动态评估,当触发风险时会通过调用 MFA 认证对用户当前状态进行确认,从而提高账号的安全性,更好地保护业务系统内的数据与资源安全。

通过持续自适应多因素认证,Snowflake 可以有效保护用户账户,防止攻击者利用窃取的凭证绕过安全验证。基于持续自适应信任的技术模型,可以持续收集每个用户在登录之后的每一个资源访问的行为数据,持续计算分析用户当前的风险水平与可信评分,并且能够根据风险水平实现自适应的访问许可或者控制操作。系统会在用户尝试登录 ServiceNow 或其他系统时,实时分析结果,动态评估风险并采取相应的验证措施,确保只有经过严格验证的用户才能访问数据,避免非法分子通过不法手段盗取账号。


在自适应 MFA 认证策略中,Authing UEBA 引擎会根据用户的行为和画像进行分析和判断,例如用户的登录历史、设备信息、IP 地址、地理位置、活动模式等等,从而确定当前用户的身份和风险级别,并选择与之相匹配的 MFA 策略。而持续自适应多因素认证(CAMFA)是在自适应多因素认证 (Adaptive-MFA) 的基础上加上 Authing 身份自动化编排引擎。


当用户的业务系统接入 Authing 后,从业务系统后端上报的 UEBA 数据到 Authing 系统,通过在 Authing 配置的持续自适应 MFA 安全策略流,在订阅安全策略流发布的事件后。此时自适应安全策略将持续对 MFA 事件进行监听,当接收到 MFA 事件后,将执行相应的安全策略。

完善审计日志,保障企业数据安全合规

完善的审计日志是企业保障合规性的前提,通过可视化的行为数据快速获悉用户在平台中的行为日志,支持自定义监听用户事件,帮助管理员实时掌握访问报告、授权信息等。所有应用系统都具备一个统一的出入口,日志集中管理,以便 IT 人员排除问题,追溯问题的起因,让身份管理更加安全合规。通过集中管理安全审计日志,可以更好地监控系统的访问情况、行为轨迹和异常事件,及时发现并应对潜在的安全威胁。

多项安全认证,为数据安全保驾护航

Authing 具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》,支持使用国密 SM1、SM2、SM3、SM4 等加密方式,保护企业数据资产安全。并且 Authing “基于云原生架构的统一身份认证管理”解决方案入选金融信创实验室优秀解决方案。Authing 统一身份与权限管理平台是一套基于云原生架构的高安全、高可用、开发性强且自主可控的企业级全场景身份与权限治理解决方案,能够灵活应用于各行业 IT 管理、权限管理、 IT 审计、安全风控、AD 替换等多种场景,不仅支持飞腾、鲲鹏、C86、兆芯、麒麟等多种芯片,还支持主流国产操作系统和浏览器客户端使用,支持 X86、ARM 等架构。