籠裏雞作反|CrowdStrike員工變內鬼 機密資料傳黑客換2.5萬美金
日防夜防,家賊難防!即使是全球知名的網絡安全公司都難以完全避免內部威脅。美國網絡安全公司 CrowdStrike 近日披露了一宗內部人員洩密事件,內奸將公司的機密資料以拍攝螢幕的方法傳送給黑客組織。幸而事件未直接導致系統被入侵及洩露客戶的數據,但亦突顯出網絡安全不單要對外,亦要加強內部把關的重要性,是企業管理層不可忽視的安全問題。
立即終止該員工職務
根據 CrowdStrike 發言人的說法,公司早前發現有員工將電腦屏幕的內容拍下並外傳,已立即終止該員工的職務。這些圖片隨後被黑客組織發佈至 Telegram,儘管 CrowdStrike 強調其系統未因該事件遭到破壞,且客戶數據始終受到保護,但事件依然引發外界對內部安全的關注。
這次內部洩密案的幕後黑手,是近期頻頻登上網絡安全新聞的黑客組織 Scattered Lapsus$ Hunters,這個組織由 ShinyHunters、Scattered Spider、Lapsus$ 組合而成。他們曾針對 Salesforce 客戶發動語音釣魚攻擊,入侵了包括 Google、Cisco、Allianz Life 等在內的多家知名企業,並透過勒索或出售數據牟取暴利。近期又創立一個 ransomware-as-a-service 平台 ShinySp1d3r,特色是會使用過往不同黑客組織曾使用的加密工具,收取服務費用。
最終只成功獲 SSO 認證
據報道,Scattered Lapsus$ Hunters 與這名內奸達成交易,承諾支付 25,000 美元以換取 CrowdStrike 內部系統的訪問權限,以及 CrowdStrike 針對 ShinyHunters 和 Scattered Spider 的內部調查報告。不過黑客組織就承認最終他們只成功獲得 SSO 認證,而內部報告則未能到手,因為內奸在交易進行中已被 CrowdStrike 發現並移交相關執法機構處理,同時迅速切斷網絡訪問權限,因而計劃無法完全實現。
在 CrowdStrike 事件中,再次證明防範內奸的重要性,專家認為需從以下幾個方向著手,首先是加強內部監控與審查,公司需定期審查內部人員的活動,確保內部資料的訪問權限根據員工的職責進行分級,限制不必要的訪問,特別是對敏感數據的訪問記錄進行嚴格監控,及早識別異常行為,專家建議採用基於行為分析的安全工具,便可第一時間察覺異常狀況。
此外,企業需實施多重身份驗證(MFA),為所有系統登錄提供額外的安全保障,降低內部人員洩露憑證所帶來的風險。最後是要定期進行安全審計與行為分析,以便及時應對各種潛在的新威脅。
