员工扮黑客入侵公司致200台电脑瘫痪，内鬼该如何防范？

“企业的200多台电脑全部瘫痪，我们怀疑有人恶意破坏，”据媒体报道，1月初，辽宁省盘锦市某公安分局接到企业报案：该公司的网络遭到人为恶意破坏，造成公司网络瘫痪，无法正常运营生产。接到报案后，当地网安大队民警立即开展侦查工作。

示例图源于网络

最终调查发现：该公司某员工一直觉得公司在薪酬及加班等问题上对自己不公平，心里非常不满。为报复他人，他使用公司内部网络管理账号，登录网关管理系统，私自禁用了公司200台电脑的域名解析功能，造成上述电脑无法连接互联网，另外还禁用了公司83个VPN账户，导致VPN账户使用者无法通过VPN连接入公司内网，最终给企业造成混乱和损失。

内部员工变成“内鬼”攻击自家公司的例子，在国内外屡见不鲜。

• 2020年8月26日，某知名网络公司前员工 Sudhish Kasaba Ramesh在圣何塞联邦法院认罪，承认自己非法入侵公司的云基础设施，执行恶意指令，破坏了大量云资源。

• 而在国内，2020年2月， 微盟核心员工贺某私自删除数据库，直接导致公司SaaS业务突然崩溃，基于微盟的商家小程序都处于宕机状态，300万家商户生意基本停摆，生意几乎快做不下去了。同时，微盟自身也蒙受巨大损失，短短几天公司市值就蒸发超过20亿港元。

“Verizon 数据泄露调查报告表明，虽然内部威胁仅占所有数据泄露的 28%，但它们通常被认为是当今企业预防和检测成本最高且最困难的威胁。” 奇安信数据安全子公司副总经理姚磊表示，最主要的原因，是组织内部员工通常对组织内部情况了如指掌，并具备足够的、甚至超过自己所需的权限来访问组织内部敏感信息，所以他们通常可以轻松且合法地绕过组织的安全措施而不会引发风险预警，因为组织认为他们是“受信任的用户”。

姚磊将内部威胁“攻击者”分为了四大类：

⌲恶意的内部人员；

⌲无意的内部人员；

⌲被利用的内部人员；

⌲外部合作的“内部”人员。

这其中，恶意内部人员的攻击行为最难以被察觉。恶意内部人员的动机有很多潜在因素（情绪愤怒、财务困境、社会因素等），因此，要查明谁是潜在的恶意内部人员，或者他们的特定动机是什么，并不总是那么容易。

就如同本文开头的例子，由于员工感觉在薪酬及加班等问题上对自己不公平，对公司怀恨在心，于是利用自身的特权，使用公司内部网络管理账号登录网关管理系统，造成了不可估量的破坏。这个示例虽然没有给企业带来致命打击，但是也足以起到警示作用，组织需要采取控制措施以更有效地预防潜在的内部恶意行为。

奇安信提醒，任何公司组织的内部都拥有大量特权人员，他们在日常开展工作时（比如运维人员需要接入主机开展运维、开发人员需要接入源码库访问源代码），必须通过特权访问权限登录到组织的关键资产。当特权访问发生时，确保授予特权人员适当的访问权限至关重要，组织需要避免关键信息因未得到充分保护而外泄。

除了对特权凭据的安全进行关注之外，企业还需要注意，内部用户利用安全漏洞的另一种方式是通过“后门”账户。在许多事件中，内部用户通过手动创建的“后门”账户来访问组织敏感且有价值的数据，从而绕过合法特权凭据。很多时候，这会导致不受监控的特权访问，并且可能会给组织带来灾难性的后果。

奇安信特权访问安全解决方案可以自动发现非托管特权账户，并将其添加到“密码保险箱”中集中管理，依据凭据轮换策略自动对凭据进行轮换以快速回收权限，从而防止特权凭据的进一步横向移动。这基本上断绝了用户在网络节点中私自创建“后门”账号的途径。

总体来看，作为企业，很难知道内部员工是否或者何时会变成“内鬼”，更难知道谁可能成为攻击的受害者并导致其账户被利用。为了有效防范内部威胁，组织必须首先了解谁拥有对哪些系统的特权访问权限，然后通过最小权限原则最小化特权用户的访问权限，以减少特权攻击面。

原文始发于微信公众号（奇安信集团）：员工扮“黑客”入侵公司致200台电脑瘫痪，内鬼该如何防范？