事件概述 - 一名被解雇的IT外包人员对公司内部系统发动攻击，导致业务中断并造成直接经济损失86.2万美元（约合人民币613万元）[1][7] - 攻击者利用其内部知识，通过运行一条PowerShell脚本重置了约2500个公司账号密码，使公司业务瞬间停摆[6][10] 攻击手法与过程 - 攻击者在被解雇后，通过冒充其他外包人员的方式重新获取了网络登录凭证，重返公司内部系统[5] - 攻击者使用自行编写的PowerShell脚本执行攻击，该脚本调用的是Windows企业环境中常见的命令行接口[6] - 为掩盖行为，攻击者事后尝试删除系统日志，增加了事后取证的难度[6] 造成的直接损失 - 大量员工因无法登录系统而停工，但公司仍需支付薪酬成本[7] - 高度依赖内部系统的客户服务体系陷入瘫痪，导致服务中断[7] - 恢复网络产生了高昂的人工成本，包括重建账号、恢复系统及排查破坏等[7] 行业警示与普遍问题 - 此类由不满被解雇而发起的“内鬼攻击”正在快速增加，尤其在依赖外包且外包人员权限较高的行业[8] - 大型企业的权限回收流程往往依赖人工、跨部门沟通复杂，执行容易出错，外包权限控制是公认的“管理盲区”[5] - 许多公司关注防火墙、入侵检测等技术防护，但往往忽略了拥有较高权限、了解内部流程的“人”的因素[8]