Ditt företag använder Snowflake för dataanalys. Ni har valt en tredjepartsintegratör för att koppla ihop era datakällor. Men vad händer om det är integratören som blir hackad? Det är precis vad som har hänt.

ShinyHunters slår till igen

Hackergruppen ShinyHunters har komprometterat Anodot, en israelisk SaaS-integratör som kopplar samman datakällor med plattformar som Snowflake, Amazon S3 och Amazon Kinesis. Genom att ta sig in hos Anodot fick gruppen åtkomst till data från dussintals företag som använde tjänsten.

Snowflake har bekräftat incidenten och meddelat att de aktivt kontaktar potentiellt drabbade kunder. Anodots statusida visar att alla deras datakopplingar har varit nere sedan lördagen, inklusive Snowflake, S3 och Kinesis.

Supply chain-attack via SaaS-integratör

Det här är ett klassiskt exempel på en supply chain-attack. Angriparna behövde inte bryta sig in hos varje enskilt företag. Det räckte att kompromettera en enda integratör som hade åtkomst till många kunders data.

ShinyHunters uppger att de stulit data från dussintals företag och att de även försökt attackera Salesforce via samma väg, men misslyckades. Gruppen hotar med att publicera stulen data om de inte får betalt.

Varför SaaS-integrationer är en blind fläck

Moderna företag använder ofta tiotals SaaS-verktyg som är sammankopplade via integrationer och API:er. Varje integration skapar en ny åtkomstpunkt. Och varje tredjepartsverktyg som har läsåtkomst till er data är en potentiell attackvektor.

Problemet är att många företag granskar sina egna system noggrant men aldrig ställer samma krav på sina SaaS-leverantörer. Vilka rättigheter har integratören? Hur lagras era credentials? Vad händer om leverantören blir hackad?

Så skyddar du ditt företag

Inventera alla SaaS-integrationer och tredjepartsverktyg som har åtkomst till era data. Granska vilka rättigheter varje integration har och begränsa dem till det absolut nödvändiga. Kräv att leverantörer använder krypterade credentials och har en dokumenterad incidentresponsplan.

Aktivera loggning och övervakning av alla API-anrop från tredjepartsverktyg. Om en integratör plötsligt börjar hämta ovanligt stora datamängder bör det utlösa en varning. Och ha alltid en plan för vad ni gör om en leverantör blir komprometterad.

Behöver ni hjälp att granska era SaaS-integrationer och tredjepartsrisker? Kontakta BlckIT så hjälper vi er att kartlägga och säkra er leverantörskedja.