【CODE BLUE 2024】ロエイ・シャーマン / Roei Sherman - 講演関連資料 / Presentation resources -

2025年2月19日 22:45

●講演概要 / Abstract

[ja] SnowflakeからSnowstormへ：侵害と検知の対処

最近、「Snowflakeキャンペーン」として知られる重大なセキュリティ・インシデントが発生し、165以上の顧客の機密データが漏えいした。
この侵害はクラウド・データ・プラットフォームにおける深刻な問題を浮き彫りにし、強固なセキュリティ対策の必要性を強調している。本講演では、Snowflakeキャンペーンを知った経緯、攻撃者がどのようにアクセスしたのか、どのように情報を流出させたのか、そしてこのような脅威を軽減するために組織が講じるべき対策について解説する。この講演では、この侵害の構造、クラウドやSaaSの可視性がインシデントの特定と対応においていかに重要であるか、そしてクラウド・セキュリティを強化するための実践的な検知戦略についての洞察を得ることができる。
特に、われわれはこの侵害について最初に公表した組織であり、サイバーセキュリティ・コミュニティにおける迅速で透明性のあるコミュニケーションの重要性を強調している。この講演では、新たに進化するSaaSセキュリティ脅威の現状を理解し、それに対抗する方法を模索しているセキュリティ専門家に向けて、実践可能な検知手法を提供する予定である。

codeblue.jp

[en] From Snowflake to Snowstorm: Navigating Breaches and Detections

Recently, the Snowflake Campaign has emerged as a significant security incident, exposing sensitive data of over 165 customers.
This breach has highlighted critical problems in cloud data platforms and underscored the need for robust security measures. In this talk, we will dissect how we learned of the Snowflake Campaign, exploring how the attackers gained access, how they could exfiltrate information, and the steps organizations can take to mitigate such threats. Attendees will gain insights into the anatomy of the breach, the importance of Cloud and SaaS visibility in identifying and responding to such incidents, and practical detection strategies to enhance their cloud security capabilities.
Notably, we were the first to go public with this breach, emphasizing the critical need for timely and transparent communication in the cybersecurity community. This session will provide attendees with actionable detection suggestions, essential for security professionals seeking to understand the new and evolving landscape of SaaS security threats and how to defend against them.

codeblue.jp

●略歴 / Bio

[ja] ロエイ・シャーマン

ロエイ・シャーマンは、クラウド・インシデント対応をリードする企業MitigaのフィールドCTOであり、サイバーセキュリティにおける豊富な専門知識を活かして革新を推進し、戦略的イニシアチブを指導している。10年以上にわたる攻撃的サイバーセキュリティの経験を持ち、レッドチーム運用に特化している。攻撃者の視点とゲリラ戦術を駆使し、トレーニング、講義、コンサルティングを含むさまざまなセキュリティ活動において防御戦略を強化している
ロエイのキャリアは、IDF（イスラエル国防軍）のフィールド・インテリジェンス部隊で始まり、現在も予備役として従事している。また、AB InBev（国際的な酒造企業）でグローバル・ディレクター・オブ・オフェンシブ・サービスを務め、EYイスラエルでは情報セキュリティコンサルタントおよびレッドチーム・リーダーとして重要な役割を果たした。彼の技術的なスキルは、レッドチームの活動、クラウドセキュリティ、ソーシャルエンジニアリング、物理的セキュリティ、ディセプション（欺瞞）技術、インシデント対応を網羅している。
ロエイは、攻撃者の視点で考える能力で知られており、強力なサイバーセキュリティ防御のための貴重な洞察と戦略を提供している。彼の分野への貢献により、講演者やコンサルタントとしての需要が高く、組織が進化する脅威に対抗できるセキュリティ体制を強化する手助けをしている。

codeblue.jp

[en] Roei Sherman

Roei Sherman is the Field CTO at Mitiga, a leading Cloud Incident Response company, where he leverages his extensive expertise in cybersecurity to drive innovation and guide strategic initiatives. With over a decade of experience in adversarial cybersecurity roles, Roei specializes in Red Team operations, utilizing an adversarial mindset and guerrilla tactics to enhance defensive strategies across various security engagements, including training, lectures, and consulting.
Roei's career began in the Field Intelligence unit of the IDF, where he continues to serve in the Reserves. He has held significant positions at AB InBev as Global Director of Offensive Services and as an information security consultant and Red Team leader for EY Israel. His technical acumen encompasses red team engagements, cloud security, social engineering, physical security, deception, and incident response.
Roei is known for his ability to think like an attacker, providing invaluable insights and strategies for robust cybersecurity defenses. His contributions to the field have made him a sought-after speaker and consultant, helping organizations strengthen their security posture against evolving threats.

codeblue.jp

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか？
私がこのトピックに取り組むきっかけは、クラウドやSaaS環境の中で、しばしば「見えない」部分に光を当てたいという強い思いでした。Snowflakeキャンペーンが発生したとき、それまでの研究、警戒心、そして裏で何が起こっているのかを解明するための取り組みがすべて結集された重要な場面でした。この経験は、企業が安全だと想定している領域にどれだけ多くのリスクが潜んでいるかを強く実感させるものでした。このような侵害を目の当たりにし、クラウドセキュリティにおける実践的なアプローチの必要性を痛感しました。それを皆さんと共有できることを楽しみにしています。

Q2 研究の過程でどのような点で苦労しましたか?
最大の課題の1つは、クラウド・データプラット・フォームの複雑さと規模の大きさに対応することでした。これほど巨大で動的な環境で攻撃者の動きを追跡することは、単なる技術的な問題ではなく、セキュリティを戦略的なレベルから再考する必要がありました。われわれのチームは、侵入ポイントを見つけるだけでなく、初めは明白でなかったデータ流出の方法を特定することにも苦労しました。多くの創造的な思考とチームの協力が必要であり、その結果得られた他の人々にも役立つ実用的な洞察を共有できることを楽しみにしています。

Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
私のメッセージはシンプルです。クラウド・セキュリティへのアプローチには刷新が必要であり、Snowflakeキャンペーンのような実際のインシデントから学ぶことが準備のための最善の方法です。無駄な情報を省き、クラウドやSaaS環境を保護するための実践的な技術を身につけたい方には、このセッションがぴったりです。実際に困難な状況を経験し、安全を守る知識を得た人から直接学ぶことほど強力なものはありません。進化し続ける脅威の状況を明確にし、参加者が一歩先を行けるように必要な洞察を提供します。

[en] Interview

Q1 What led you to making this presentation?
My journey into this topic began with a determination to bring visibility into the often 'invisible' parts of cloud and SaaS environments. When the Snowflake Campaign emerged, it was a pivotal moment that combined all our research, vigilance, and commitment to uncover what was happening behind the scenes. This experience highlighted just how much risk lies in the spaces organizations assume are secure. Seeing this breach unfold firsthand underscored the pressing need for a practical approach to cloud security, one that I’m excited to share with others.

Q2 What were some challenges you faced during this research?
One of the biggest challenges was navigating the sheer complexity and scale of cloud data platforms. Tracking attacker movements across such a massive, dynamic environment isn’t just a technical feat; it requires us to rethink security from a strategic level. Our team faced hurdles not only in finding the breach points but also in identifying how the exfiltration took place without being obvious at first. It took a lot of creative thinking and collaboration to uncover actionable insights that others could use, and that’s exactly what we’ll be sharing.

Q3 What message would you like to convey to those considering attending this talk?
My message is simple: the way we approach cloud security needs a refresh, and learning from real incidents like the Snowflake Campaign is the best way to prepare. If you’re interested in cutting through the noise and gaining real-world techniques to protect cloud and SaaS environments, this session will provide exactly that. There’s nothing more powerful than learning directly from those who went through the fire and came out with the knowledge to keep others safe. We’re here to bring clarity to an evolving threat landscape and equip attendees with the insights to stay one step ahead