事件概述 - 3月11日 媒体报道 伊朗关联的黑客组织Handala声称成功攻击了财富500强医疗器械制造商史赛克公司 该组织宣称已擦除20万台系统并窃取50TB数据 [1] - 攻击影响了史赛克的微软环境 导致广泛网络中断 员工个人手机上安装有微软Office应用的设备也被擦除 [1] - 基于攻击者的声明 此次网络攻击是对美国与伊朗持续冲突的回应 是更广泛冲突中不断升级的数字战的一部分 [1] 攻击性质与影响 - 攻击可能涉及擦除器恶意软件 其可伪装成勒索软件 但会销毁而非加密受害者数据 使恢复更具挑战性 [2] - 分析指出 攻击者可能获得了史赛克移动设备管理/统一端点管理平台的访问权限 从而能够提取信息并对任何受管设备强制进行系统级擦除和重置 [3] - 攻击影响了在MDM/UEM平台（微软Intune）上注册的个人设备用户 但这不一定表明Intune本身存在漏洞 攻击者更可能利用了环境内的原生工具和流程 [3] - 史赛克公开声明其联网产品未受影响 可安全使用 但除微软系统受干扰外 尚未公开更多细节 [13] 攻击手法与行业风险 - MDM/UEM平台是企业的“王国钥匙”系统 用于集中管理、保护及监控各类终端 包括桌面设备、移动设备、可穿戴设备和浏览器等 [5] - 此类平台被攻破影响广泛 攻击者不仅能提取数据和擦除设备 还能部署脚本、放宽权限并在基础设施内建立命令与控制节点 这些C&C节点通过正常管理渠道部署 更不易被检测为恶意 [5] - 许多企业实施自带设备项目 BYOD设备通常受MDM/UEM平台控制 这使得攻击者能获得与公司设备同等的控制权 访问个人和公司信息 此类访问权限对恶意行为者具有很高价值 [6] - 企业数据管理和安全领导者希望将所有业务数据集中化以便控制和保护 但大量数据最终留存在用户设备上 当20万台设备被擦除时 查明数据丢失情况及对业务的影响需要更长时间 [8] 攻击背景与目标分析 - 此次攻击似乎具有地缘政治动机 史赛克对于亲伊朗的攻击者而言是一个独特且有价值的目标 它是一家与美国军方有大型医疗器械合同的美国上市公司 并且旗下至少拥有一家位于以色列的公司OrthoSpace Ltd [9] - 地缘政治局势今年极其混乱 美国已公开表示将更多地在进攻行动中使用网络攻击 并将其纳入2026年网络战略目标 [10] - 企业应定期（至少每季度一次或更频繁）举行涉及安全团队的地缘政治风险讨论 以了解最新地缘政治变化及可能更倾向于将其作为目标的新攻击组织 [10] 企业应对与建议 - 企业应审查对MDM/UEM等管理平台的访问控制 [16] - 应使用防网络钓鱼的多因素认证来限制对企业管理系统的访问 确保仅凭泄露的凭证无法获得访问权 [20] - 应配置擦除等破坏性操作 使其利用多管理员批准等功能 确保单个被攻破的管理员账户无法单独执行这些操作 [20] - 企业需扫描内部所有系统 查找威胁行为者可能用于访问其他数据（如运营技术/工业控制系统网络中的系统）的工具 [12] - 如果攻击者能够攻破Intune等控制平面或执行擦除器恶意软件攻击 企业应确保能够快速恢复这些设备 或至少让员工和客户能够访问其数据 [17] - 企业应评估自身特征 如原籍国、运营地点、与全球各团体和政府的关系 以及关于可能针对其的团体的最新威胁情报 并研究这些组织的战术、技术和程序 以识别并弥补潜在的安全态势差距 [11] 对员工与BYOD政策的启示 - 用户需了解哪些数据可能已被提取 如果威胁行为者从BYOD设备提取了数据 则意味着从个人照片到设备上的银行对账单等任何信息都可能被窃取 [14] - 由于MDM/UEM平台对受管终端具有控制级别 网站访问令牌和数字证书也可能被提取（尽管凭证本身可能未被提取） 作为预防措施 在调查进行期间 应更改在自带设备上可能使用过的应用程序和网站的密码 [14] - 此类事件暴露了允许工作软件安装在个人设备上的固有风险 强烈考虑使用公司配发的设备或专用于工作的独立设备 而非混合使用个人和公司设备 对企业而言 这也是降低风险的机会 BYOD设备本身风险更高 [15] - 用户注册公司BYOD项目协议的常见部分是 企业保留在安全事件发生时控制、锁定及部分或完全擦除设备的权利 这意味着员工可能失去对设备上个人文件的访问权 并需负责对这些文件进行定期备份 [7]