企业动态

    2024年7月12日，美国电信巨头AT&T披露，其托管在Snowflake云服务公司的数据发生泄漏，涉及几乎所有客户，数量高达1.1亿人。被盗的数据主要包括从2022年5月1日至2022年10月31日六个月期间，客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。不包括通话或短信内容、社会保障号码、出生日期或任何其他个人身份信息。

    AT&T是美国最大的电信运营商，其业务系统属于关键信息基础设施。事件发生后，AT&T向美国联邦调查局报告入侵事件，考虑国家安全和公众影响，延迟披露此次事件。

    奇安信集团副总裁、首席数据安全科学家刘前伟表示，这是一起公有云服务商被入侵后导致的数据泄漏事件。Snowflake是专门提供数据存储和分析的公有云服务商，托管在其云数据仓库的客户有9000多家。上个月，媒体披露Snowflake事件，涉及160多家公司，包括票务巨头Ticketmaster、桑坦德集团（Santander Group）、汽车零配件巨头（Advance Auto Parts）等在内的一大批知名企业，数以亿计的个人受到影响。Advance Auto Parts公司泄漏了个人敏感信息。约230万条敏感个人信息泄漏，包括前雇员或求职者的全名、社会保障号码、驾驶执照和政府颁发的身份证号码。

    •从云服务商角度看，公有云服务商大规模数据泄漏的原因，可能是黑客利用购买的登录凭证进行的数据窃取。公开报道显示，有其他黑客利用恶意软件，提取了相关用户名、密码和身份验证令牌的访问权限，在暗网上销售。

    •从托管客户角度看，系统存在安全隐患，未启用增强的身份验证手段。登录系统只使用简单的用户名和密码方式，没有采用多因素身份验证。AT&T承认客户记录暴露在云数据库中，该数据库仅受用户名和密码保护。事件发生后，Snowflake强制其客户启用多因素验证方式登录系统。

    刘前伟表示，就在今年4月份，AT&T就公开承认数据泄漏，超七千万用户受波及，短短不到4个月，再次爆发重大数据泄露事故，足可见大型企业面临的严峻数据安全风险。这起事故能够给业内带来三个方面的启示：

    启示一：数据价值越高，被窃取或泄露的风险就越大，须时刻紧绷安全之弦

    “匹夫无罪，怀璧其罪。”数据的价值越高,被窃取或泄露的风险也就越大。黑客和网络犯罪分子不断寻找机会获取敏感信息,以谋取经济利益或造成破坏。随着数据仓库、数据湖、数据中台的广泛采用，企业内部，各个业务系统的数据全部集中归集到一起，带来数据安全风险的大集中，尤其是数据泄漏风险。

    数据泄漏事件带给企业和个人很多危害。首先是违反了相关法律法规，会受到法规层面的处罚。我国已经颁布实施了《数据安全法》和《个人信息保护法》，以及行业监管部门的各种规范细则，对数据泄漏，尤其是重大数据泄漏事件作出相应的处罚规定。

    其次，对企业信誉会造成负面影响。以上述事件为例，AT&T的个人消费者认为，以如此少的安全保护来存储如此多的敏感客户数据，是不可接受的。数据泄漏会严重损害客户和合作伙伴的信任，重建这种信任可能需要很长时间,有时甚至无法完全恢复。

    再者，对泄漏的敏感信息相关者，带来潜在的安全风险。虽然AT&T只泄漏了通话和短信记录，没有对应的个人敏感信息，但是依然可以推断出号码之间联系关系。而Advance Auto Parts公司的客户，泄漏了包括姓名和社会保障号等个人敏感信息，导致存在着营销、诈骗等潜在的连锁风险。

    数据泄漏方式有很多种，主要是外部攻击和内部有意无意的泄漏。对外防攻击，以“内生安全”理念为指导，做好纵深防御；对内“防内鬼”，做好管控。企业网络安全和数据安全负责人，需要时刻提高警惕。

    启示二：使用公有云服务，既要谨慎评估其安全能力，还要有额外手段来兜底

    云计算服务商提供各种计算和存储服务，以按需使用、弹性收缩、即插即用等优势，获得客户认可。不过，将应用和数据部署在第三方的公有云上，就存在一定的安全风险。使用公有云提供的服务，需要先结合自身业务情况和数据敏感程度，评估云服务商安全能力，再来决策是否采用。

    首先，谨慎评估公有云安全能力。从合规性上考虑，是否获得的安全认证(如等级保护认证等级，ISO27001认证等)，从云服务商提供的各种安全服务能力的种类上评估，以及从历史上是否出现过事件等角度综合考虑。

    其次，考虑计划上云数据的安全等级。一般数据可以使用公有云。重要数据及以上等级的数据，不建议上到公有云，一般数据可以使用。

    最后，假设云服务商被攻击失陷，企业需要兜底方案。比如可以采用加密或者令牌化（Tokenization）方式，即使因为云服务商的原因导致泄漏，攻击者获取到数据，也无法读懂，将影响降低到最小。

    启示三：数据安全需要体系化来规划和建设，常态化风险评估与监测，实战化应急处置

    数据安全的建设，需要整体规划，重点先行。参考DSMM标准，在管理体系、技术体系和运营体系上规划和建设。以数据分类分级的结果，对重要数据实施管控和保护。此外，根据行业发布的监管办法，定期开展数据安全风险评估，根据评估结果，查漏补缺。利用数据安全管控平台，持续监控数据安全风险，做好数据安全应急预案，防范于未然。

    为助力各行业加强数据安全和合规保障，奇安信在数据安全治理和防护体系上提供全面的安全服务和产品方案。数据安全治理服务上，提供数据安全咨询规划，数据分类分级，数据安全风险评估，数据安全能力成熟度认证辅导等；在产品和解决方案上，提供数据安全威胁检测与防护，数据安全风险持续监测，数据库安全，数据安全访问控制，覆盖数据安全生命周期。

    2023年5月，奇安信正式发布了奇安天盾数据安全保护系统，它基于奇安信多年的数据安全实践，以数据识别、风险分析、数据保护为核心竞争力，将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系，为客户提供看清数据安全风险、管好内部数据违规、防住外部数据威胁的一体化产品解决方案，帮助广大政企客户解决数据要素及相关流动过程中风险难看清、内鬼难管好、攻击难防住的难题，避免重蹈大规模数据泄漏的覆辙，为数字化转型和业务发展保驾护航。