是什么让首席信息安全官夜不能寐?这些安全领导者忙得不可开交,他们要处理的任务不断增加,而且优先级也越来越高——因此答案可能会根据当天情况和谈话对象而变化。但最近几周,与 Snowflake 有关的一系列大规模数据泄露事件让首席信息安全官及其同事深感不安。Snowflake事件中最新、影响最广的泄露事件是 AT&T,该公司今天报告的数据泄露事件几乎影响了其1.1 亿无线客户以及与这些 AT&T 客户互动的广泛联系人网络。
初步报告将 AT&T 数据泄露事件归咎于
Snowflake 账户缺乏多因素身份验证,这使得在 Snowflake 中存储和处理的大量 AT&T 客户数据更容易受到恶意攻击者的攻击。以下是有关此次数据泄露的一些重要信息,以及它对企业安全领导者意味着什么。
AT&T 和 Snowflake 的违规行为让客户陷入困境
Snowflake 泄密事件不仅泄露了企业数据,还泄露了客户的私人通话记录。据 TechCrunch 报道,“AT&T 表示,被盗数据包含移动和固定电话客户的电话号码,以及 AT&T 在 2022 年 5 月 1 日至 2022 年 10 月 31 日六个月期间的通话和短信记录(例如谁通过电话或短信联系了谁)。”TechCrunch 还报告称,2023 年 1 月 2 日的一小部分文本和通话数据被泄露。
这代表着对隐私的大规模侵犯,其规模令人难以置信。其后果可能会在数周、数月甚至数年内不断显现,而 AT&T 的客户将首当其冲地承受这些后果。
此次泄密事件对 CISO 和安全领导者意味着什么
毫无疑问,这种规模和严重程度的违规行为对品牌造成了重大打击。毫无疑问,由于这一事件,AT&T 将在未来几周内失去客户和价值。
许多安全主管会对缺乏基本的安全卫生实践(如对第三方供应商软件中存储和处理的高度敏感数据集进行多因素身份验证)感到困惑。明智的安全主管将利用这一事件作为行动号召,重新评估其供应商供应链中的潜在漏洞并做出相应改变。
这些变化可能包括在需要的地方争取更多的预算和资源众所周知,安全团队往往得不到成功所需的投资。工作过度、不堪重负的团队更容易犯这样的错误——正如我们一次又一次看到的那样,违规行为可能会造成数十亿美元的收入损失和品牌资产损失。
一分预防胜过十分治疗:为您的团队提出理由,以便您、您的同事和您的客户能够取得成功。
企业数据管理员需要非常关注细节
毫无疑问,如今的安全领导者正努力应对大量相互竞争的优先事项、软件协议、集成和供应商关系。他们已经捉襟见肘。有先例表明,Uber 首席安全官因掩盖漏洞而被判处 3 年缓刑和 5 万美元罚款,首席信息安全官、首席安全官和其他安全领导者在个人和职业方面都面临着巨大的风险。
然而,网络环境继续以闪电般的速度发展,如果不能跟上不断扩张的第三方供应商和客户数据的步伐,可能会带来灾难性的后果,尤其是当这些供应商被委托保管敏感信息时。
当你观察 AT&T 这样的跨国企
业及其运营规模时,很容易发现,在数百个商业应用中,忽视多因素身份验证这样的小细节可能会被忽视。但这个细节非常重要,尤其是考虑到 AT&T 信任 Snowflake 来存储大量敏感的客户数据和 PII。
在企业安全团队面临的众多优先事项中,团队中应该有人意识到缺乏 MFA 是一个问题。但是,这里有共同的责任,因为在 2024 年初这一轮违规行为曝光之前, Snowflake 并没有要求对账户进行多因素身份验证。
第三方供应商决定你的网络安全态势
是的,AT&T 应该更加谨慎,确保在将包含 PII 的大量客户数据库移交给第三方供应商之前,这些数据库会得到妥善保护。但是,Snowflake 是一家非常成熟的分析软件公司。他们的客户群包括思科、康卡斯特、万事达卡、Adobe 和纽约证券交易所等。Snowflake 对管理包含敏感信息的企业级数据集并不陌生,因此令人惊讶的是,当他们知道像 AT&T 这样的客户将敏感的客户 PII 存储在 Snowflake 的云中时,他们没有要求并执行 MFA 等基本安全实践。
美国手机号码列表是一项关键资源,在商业 美国手机号码列表 公共安全和道只会越德实践方面具有多方面的应用。随着通信技术的不断发展,维护全面、负责任的数据库的重要性来越大这凸显了勤勉的数据管理和尊重消费者隐私的必要性。
许多企业需要 Snowflake
Databricks 或 Google BigQuery 等工具来从海量数据中提取见解。这些应用程序对于任何创新型企业来说都是必不可少的。在AT&T 的 Snowflake 案例研究中,AT&T 的首席数据官表示:“Snowflake 数据云让我们能够利用和整合数据来创造见解。有了触手可及的数据,我们的收入正在增加,成本效益更高,最重要的是,客户体验得到了改善。”
AT&T 使用 Snowflake 从数据中获 2024 年顶级品牌的 15 个全渠道营销示例 取价值并打造更好的客户体验。AT&T 拥有 1.1 亿客户,这是一个海量的数据,AT&T 需要从中学习、成长和改进。从数据中获取价值对任何企业来说都是必不可少的,但这种价值绝不能以牺牲客户隐私和安全为代价。
最终,首席信息安全官应该评估其供应链合作伙伴是否赢得了他们的信任,无论是通过FedRAMP 授权实践等可证明的数据安全性、账户所需的安全措施,还是仅仅准确履行他们所说的承诺。与网络安全同行交谈并评估Gartner Peer Reviews等值得信赖的第三方建议以了解他们与您正在考虑的供应商合作的经验也大有裨益。
AT&T 数据泄露事件发生后你需要问自己的问题
如果你从 AT&T 泄密事件中学到了什么,那就是细节很重要,你信任谁也很重要:您的第三方供应商真的值得您信任吗?他们是否获得了访问和保护客户数据的权利?
您是否过度信任您的供应商 真实手机号码列表 内部员工访问敏感信息?
您如何管理对敏感数据(如客户 PII、PHI、CUI或CJI)的访问?
您是否为您的团队提供了安全的方式来共享信息、协作并完成工作,同时又不牺牲安全性?
您只是在保护自己的周边安全,还是在全面了解您的企业如何在内部和外部发送和接收敏感信息?
数据决定一切:
明智地选择合作伙伴此类泄密事件凸显了归根结底一切都归结于数据。网络攻击者所追求的正是数据本身。正是数据让他们的工作变得有利可图。正是数据推动任何企业的洞察力和增长。而正是数据的暴露使客户的私人信息被泄露或泄露,从而将客户置于风险之中。
您的数据就是一切
于任何规模的组织(无论是AT&T 这样的全球电信公司,还是地区性银行或小型医疗机构),您的价值和客户关系都与您选择如何保护这些数据密切相关。
如果您想了解 Virtru 如何帮助您的组织控制需要与外部合作伙伴共享的敏感信息,请联系我们的团队进行演示。我们很乐意分享如何帮助您弥补组织中的一些数据缺口。
梅根·利德
梅根·利德Megan 是 Virtru 的品牌和内容总监。她拥有新闻和编辑内容方面的背景,喜欢讲述精彩的故事,让复杂的主题变得通俗易懂。在过去 15 年里,她的职业生涯一直追随她的好奇心 — 从旅游业到支付技术再到网络安全。
