整理 | 蘇宓

出品 | CSDN（ID：CSDNnews）

近年來，員工因?yàn)楦鞣N原因“報(bào)復(fù)公司”的事情屢見不鮮，有的刪庫跑路，有的偷偷改權(quán)限，還有的干脆在代碼中“投毒”。即便諸多公司嚴(yán)格執(zhí)行“最小權(quán)限”原則，有時(shí)候仍是防不勝防。

如今，就連網(wǎng)絡(luò)安全界巨頭 CrowdStrike 也沒能幸免。要知道平日里，CrowdStrike 可是保護(hù)著數(shù)百家企業(yè)免受黑客攻擊，入侵檢測(cè)、威脅情報(bào)樣樣齊全。

可就是在這些嚴(yán)密的系統(tǒng)背后，一名員工悄悄把內(nèi)部系統(tǒng)電腦的屏幕截圖交給了黑客，還收了 25,000 美元“報(bào)酬”，導(dǎo)致這家以安全性聞名的公司在了自家員工身上摔了跟頭。

針對(duì)這件事，CrowdStrike 已經(jīng)證實(shí)事件屬實(shí)，并對(duì)該員工進(jìn)行了解雇，同時(shí)正在追究后續(xù)責(zé)任。

“黑客攻擊”演變?yōu)?/strong>“內(nèi)鬼泄密”事件

要論事情究竟是為何以及如何發(fā)生的，一切的根源還要從上周四談起。當(dāng)時(shí)一個(gè)名為 Scattered Lapsus$ Hunters 的黑客組織在 Telegram 頻道上貼出幾張“猛料”截圖，聲稱他們成功獲取了 CrowdStrike 內(nèi)部環(huán)境的訪問權(quán)限。

截圖顯示，泄露的內(nèi)容不僅能看到 CrowdStrike 的內(nèi)部儀表盤，甚至還有用于員工登錄公司應(yīng)用的 Okta 單點(diǎn)登錄（SSO）面板鏈接。

乍一看，完全像是一次成功的入侵現(xiàn)場(chǎng)。

對(duì)此，黑客們自己的說法是，這些截圖證明了他們利用第三方供應(yīng)商 Gainsight（通常用于客戶管理）滲透進(jìn)入了 CrowdStrike 內(nèi)部系統(tǒng)，也把這次包裝成了又一次成功的供應(yīng)鏈攻擊事件。

之所以稱之為“又一次”，是因?yàn)椴殚喚S基百科可以發(fā)現(xiàn)，“Scattered Lapsus$ Hunters” 是近年來頻繁出現(xiàn)在企業(yè)安全事件中的黑客聯(lián)合體，他們由原 ShinyHunters、Scattered Spider 和 Lapsus$ 等組織聯(lián)合而成。

自今年初以來，這個(gè)黑客組織動(dòng)作頻頻，入侵過多家公司。

此前他們?cè)_喊話，宣稱對(duì)捷豹路虎遭遇的大規(guī)模網(wǎng)絡(luò)攻擊負(fù)責(zé)。當(dāng)時(shí)，他們利用泄露的微軟 Azure 憑證入侵系統(tǒng)，盜走了超過 1.6TB 的數(shù)據(jù)。事件導(dǎo)致捷豹路虎不得不緊急關(guān)閉關(guān)鍵 IT 系統(tǒng)，相關(guān)生產(chǎn)線停擺了將近四周，那個(gè)季度的損失高達(dá)約 1.96 億英鎊（約 2.2 億美元）。

就在上周，這個(gè)組織又對(duì)外聲稱，他們竊取了 200 多家公司托管在 Salesforce 上的數(shù)據(jù)。Salesforce 隨后確認(rèn)，確實(shí)有“部分客戶的數(shù)據(jù)”被盜，而攻擊入口正是由 Gainsight 發(fā)布、多個(gè)客戶使用的應(yīng)用程序。黑客在 Telegram 上列出的受影響企業(yè)名單中，全是大名鼎鼎的公司，包括 LinkedIn、GitLab、Atlassian、Thomson Reuters、Verizon、F5、SonicWall、DocuSign、Malwarebytes 等。

基于這群人此前的劣跡，黑客一開口，難免讓不少企業(yè)神經(jīng)緊繃、紛紛開始排查。

不過，劇情很快反轉(zhuǎn)。

隨著更多內(nèi)部消息被披露，這次所謂的“供應(yīng)鏈攻擊”實(shí)際上并不是黑客炫耀的那樣，而是 CrowdStrike 內(nèi)部員工的“背叛”導(dǎo)致的。

根據(jù)外媒 BleepingComputer 的報(bào)道，CrowdStrike 發(fā)言人證實(shí)，公司在上個(gè)月的一次內(nèi)部調(diào)查中注意到有員工行為異常。

進(jìn)一步跟進(jìn)后，他們發(fā)現(xiàn)這名員工竟然私下把自己的電腦屏幕截圖發(fā)給了外部黑客。而在 Telegram 上流出的那些截圖，正是由這名員工傳出去的。

把內(nèi)部截圖以 25000 美元對(duì)外“出售”

事件背后的細(xì)節(jié)同樣令人咋舌。

據(jù)黑客自己透露，他們?cè)蜻@名內(nèi)部人員支付約 25,000 美元，以換取對(duì) CrowdStrike 網(wǎng)絡(luò)的訪問權(quán)限。

最終，他們確實(shí)拿到了對(duì)方提供的 SSO（單點(diǎn)登錄）認(rèn)證 Cookie，這種 Cookie 等于是讓黑客跳過用戶名和密碼驗(yàn)證，直接以員工身份進(jìn)入系統(tǒng)，相當(dāng)于給了他們一把“萬能鑰匙”。

然而，事情并未按照黑客的計(jì)劃發(fā)展。CrowdStrike 的內(nèi)部安全監(jiān)控系統(tǒng)偵測(cè)到了異常行為，立即斷開了該員工的網(wǎng)絡(luò)訪問權(quán)限。

CrowdStrike 發(fā)言人透露：“我們上個(gè)月已經(jīng)識(shí)別并終止了這名可疑員工的訪問權(quán)限。雖然他把屏幕截圖泄露給了外部人士，但我們的系統(tǒng)并未遭到入侵，客戶的數(shù)據(jù)安全始終處于保護(hù)之下?！?/p>

目前，這起案件已經(jīng)移交給相關(guān)執(zhí)法機(jī)構(gòu)繼續(xù)處理。而這名員工為什么要這么做，原因尚未可知。

這意味著，雖然敏感信息被泄露，但公司的防護(hù)體系仍然有效，防止了黑客對(duì)客戶數(shù)據(jù)的直接入侵。

更進(jìn)一步的調(diào)查顯示，這群黑客的目的似乎不僅僅是“看一眼 CrowdStrike 的內(nèi)部系統(tǒng)”這么簡單。

據(jù)悉，他們還嘗試向這名內(nèi)部人員購買 CrowdStrike 針對(duì)其他黑客團(tuán)伙（例如 ShinyHunters、Scattered Spider）的威脅情報(bào)報(bào)告。這類報(bào)告往往包含攻擊路徑分析、漏洞利用細(xì)節(jié)以及防御策略，如果落入攻擊者手里，無異于把“對(duì)付黑客的攻略”反手交給黑客。

幸運(yùn)的是，這筆買賣并未成功。

千防萬防，“人”最難防

整體來看，CrowdStrike 這次事件雖然沒有造成嚴(yán)重?fù)p失，但對(duì)整個(gè)行業(yè)敲響了警鐘。

對(duì)此，也有網(wǎng)友表示不解，CrowdStrike 究竟做了什么導(dǎo)致了員工的“背叛”：

• 2.5 萬美元？認(rèn)真嗎？你們給員工的薪水到底是多少，才會(huì)覺得這種決定聽起來還能算合理？

• 要是我來做，我肯定會(huì)換個(gè)方式、而且能做得更好。首先，我會(huì)告訴 CrowdStrike 的老板，有黑客來聯(lián)系我了，然后說明我打算收他們 2.5 萬美元，再給他們一些看起來真實(shí)但其實(shí)是誘捕網(wǎng)絡(luò)里的假訪問 cookie。這樣一來，我們就把騙子給騙了。

話雖如此，近年來，內(nèi)部員工的“背叛”事件也確實(shí)是頻繁發(fā)生：

• 今年 3 月，一名前“不滿現(xiàn)狀”的員工在原公司部署所謂（殺死開關(guān)）”，導(dǎo)致系統(tǒng)癱瘓，被判定“故意損害受保護(hù)的計(jì)算機(jī)”；

• 2021 年，一名程序員在被裁后黑進(jìn)前東家系統(tǒng)，“一鍵重置”2500 個(gè)賬號(hào)，使公司業(yè)務(wù)瞬間停擺，損失高達(dá) 86.2 萬美元。

各類安全從業(yè)者都在警告這一風(fēng)險(xiǎn)正迅速上升。Chris Linnell（Bridewell 數(shù)據(jù)隱私副總監(jiān)）評(píng)價(jià)道，這起事件凸顯了一個(gè)事實(shí)：要徹底防范此類內(nèi)部事件幾乎不可能。內(nèi)部人員本身就擁有合法憑證，并對(duì)企業(yè)內(nèi)部系統(tǒng)了如指掌，這意味著他們可以在不被察覺的情況下繞過安全控制，造成巨大破壞。

他說：“惡意內(nèi)部人員活動(dòng)是組織面臨的最昂貴、最棘手的網(wǎng)絡(luò)安全威脅之一。與外部攻擊不同，這類事件利用的是‘信任’和‘授權(quán)訪問’，這讓檢測(cè)與補(bǔ)救變得困難得多?！?/p>

那么，企業(yè)該如何應(yīng)對(duì)內(nèi)部威脅？

Linnell 建議采用分層防御策略：技術(shù)層面包括行為分析工具（監(jiān)測(cè)異常行為）、數(shù)據(jù)防泄漏（DLP）工具、以及對(duì)敏感數(shù)據(jù)和網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控。

他補(bǔ)充說：“組織應(yīng)該強(qiáng)制實(shí)施嚴(yán)格的訪問控制，包括最小權(quán)限原則、多因素認(rèn)證（MFA）以及定期的權(quán)限審查?！?/p>

“更進(jìn)一步的措施還包括動(dòng)態(tài)水印、屏幕截圖阻止等技術(shù)，既能震懾潛在泄密者，也能用于追蹤泄露來源；而自適應(yīng)防護(hù)技術(shù)可以在檢測(cè)到異常行為時(shí)自動(dòng)撤銷訪問權(quán)限?！?/p>

“內(nèi)部風(fēng)險(xiǎn)不是一個(gè)靠單一工具就能解決的問題——它需要一個(gè)整體、主動(dòng)的策略來保護(hù)敏感數(shù)據(jù)并維護(hù)組織的信任體系?！?/p>

但防護(hù)不僅僅是技術(shù)問題，更是“人”的問題。企業(yè)還應(yīng)制定清晰的政策和處罰機(jī)制，招聘環(huán)節(jié)進(jìn)行背景調(diào)查，并對(duì)高風(fēng)險(xiǎn)崗位定期復(fù)審。

https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/

https://www.itpro.com/security/cyber-attacks/crowdstrike-insider-attack-wake-up-call

【活動(dòng)分享】2025 年是 C++ 正式發(fā)布以來的 40 周年，也是全球 C++ 及系統(tǒng)軟件技術(shù)大會(huì)舉辦 20 周年。這一次，C++ 之父 Bjarne Stroustrup 將再次親臨「2025 全球 C++及系統(tǒng)軟件技術(shù)大會(huì)」現(xiàn)場(chǎng)，與全球頂尖的系統(tǒng)軟件工程師、編譯器專家、AI 基礎(chǔ)設(shè)施研究者同臺(tái)對(duì)話。

本次大會(huì)共設(shè)立現(xiàn)代 C++ 最佳實(shí)踐、架構(gòu)與設(shè)計(jì)演化、軟件質(zhì)量建設(shè)、安全與可靠、研發(fā)效能、大模型驅(qū)動(dòng)的軟件開發(fā)、AI 算力與優(yōu)化、異構(gòu)計(jì)算、高性能與低時(shí)延、并發(fā)與并行、系統(tǒng)級(jí)軟件、嵌入式系統(tǒng)十二大主題，共同構(gòu)建了一個(gè)全面而立體的知識(shí)體系，確保每一位參會(huì)者——無論是語言愛好者、系統(tǒng)架構(gòu)師、性能優(yōu)化工程師，還是技術(shù)管理者——都能在這里找到自己的坐標(biāo)，收獲深刻的洞見與啟發(fā)。詳情參考官網(wǎng)：https://cpp-summit.org/