事件概述 - 网络安全公司CrowdStrike发生一起内部员工泄密事件，一名员工将内部系统电脑屏幕截图以25,000美元出售给外部黑客组织，公司已解雇该员工并追究责任 [1][10][12] 事件经过与性质 - 事件最初被黑客组织“Scattered Lapsus$ Hunters”在Telegram上宣称是一次成功的供应链攻击，利用了第三方供应商Gainsight渗透进入CrowdStrike内部系统 [3][7] - 后续调查证实，实为内部员工“背叛”，该员工私下将包含内部仪表盘和Okta单点登录面板链接的截图提供给了黑客 [5][10] - 黑客向该员工支付约25,000美元，获得了SSO认证Cookie，可绕过验证直接以员工身份进入系统 [11] - CrowdStrike的内部安全监控系统侦测到异常行为，及时断开了该员工的网络访问权限，防止了客户数据被直接入侵 [11][12][13] 涉及的黑客组织 - 黑客组织“Scattered Lapsus$ Hunters”由原ShinyHunters、Scattered Spider和Lapsus$等组织联合而成，近年来频繁制造企业安全事件 [9] - 该组织今年初曾入侵捷豹路虎，盗走超过1.6TB数据，导致生产线停摆近四周，造成约1.96亿英镑（约2.2亿美元）的季度损失 [9] - 上周，该组织声称窃取了200多家托管在Salesforce上的公司数据，受影响企业包括LinkedIn、GitLab、Atlassian等知名公司 [10] 事件影响与行业警示 - 事件虽未造成严重损失，但凸显了内部威胁的严重性，为整个行业敲响警钟 [15] - 安全专家指出，恶意内部人员活动是利用“信任”和“授权访问”的威胁，检测与补救比外部攻击更困难，是组织面临的最昂贵、最棘手的网络安全威胁之一 [18] - 近年来内部员工“背叛”事件频发，例如2021年一名被裁程序员黑进前公司系统，造成高达86.2万美元的损失 [17] 应对内部威胁的建议 - 建议采用分层防御策略，包括技术层面的行为分析工具、数据防泄漏工具以及对敏感数据和网络活动的实时监控 [18] - 应强制实施严格的访问控制，包括最小权限原则、多因素认证以及定期的权限审查 [19] - 可进一步采用动态水印、屏幕截图阻止等技术震慑和追踪泄密，以及自适应防护技术在检测到异常时自动撤销访问权限 [19] - 防护不仅是技术问题，企业还需制定清晰的政策和处罚机制，在招聘环节进行背景调查，并对高风险岗位定期复审 [19]