事件概述 - 网络安全巨头CrowdStrike发生一起内部员工泄密事件，一名员工将内部系统电脑屏幕截图以25,000美元的价格出售给外部黑客组织，导致敏感信息泄露 [1] - 该事件最初被黑客组织包装为一次成功的供应链攻击，但后续调查证实为内部人员所为 [5][13] - CrowdStrike公司已解雇该员工，并将案件移交执法机构，公司确认其系统未被入侵，客户数据安全 [2][17] 事件经过与细节 - 黑客组织Scattered Lapsus$ Hunters在Telegram频道上发布了据称是CrowdStrike内部环境的截图，内容包括内部仪表盘和员工单点登录面板链接 [5][7] - 该黑客组织声称通过第三方供应商Gainsight渗透进入系统，将其包装为供应链攻击 [8] - 实际原因为CrowdStrike内部调查发现一名员工行为异常，证实其私下将电脑屏幕截图发送给了黑客 [14] - 黑客向该员工支付了约25,000美元，以换取对CrowdStrike网络的访问权限，并获得了可绕过认证的单点登录认证Cookie [15][16] - CrowdStrike的内部安全监控系统侦测到异常并立即断开了该员工的网络访问，阻止了更严重的入侵 [17] - 黑客还试图向该员工购买CrowdStrike针对其他黑客团伙的威胁情报报告，但未成功 [19][20] 涉事黑客组织背景 - 黑客组织Scattered Lapsus$ Hunters由原ShinyHunters、Scattered Spider和Lapsus$等组织联合而成，近年来频繁出现在企业安全事件中 [9] - 今年初，该组织宣称对捷豹路虎的大规模网络攻击负责，利用泄露的微软Azure凭证盗走超过1.6TB数据，导致捷豹路虎关键IT系统关闭、生产线停摆近四周，造成约1.96亿英镑（约2.2亿美元）的季度损失 [10] - 上周，该组织又声称窃取了200多家托管在Salesforce上的公司数据，Salesforce确认部分客户数据被盗，攻击入口是Gainsight发布的应用程序，受影响企业名单包括LinkedIn、GitLab、Atlassian等知名公司 [10] 行业影响与内部威胁分析 - 该事件凸显了内部威胁是组织面临的最昂贵、最棘手的网络安全威胁之一，内部人员利用信任和授权访问，使得检测与补救变得困难 [22] - 安全专家指出，要彻底防范此类内部事件几乎不可能，因为内部人员拥有合法凭证且了解内部系统 [22] - 近年来内部员工“背叛”事件频发，例如2021年一名被裁程序员黑进前东家系统，造成高达86.2万美元的损失 [24] 应对内部威胁的建议 - 建议采用分层防御策略，技术层面包括行为分析工具、数据防泄漏工具以及对敏感数据和网络活动的实时监控 [22] - 应强制实施严格的访问控制，包括最小权限原则、多因素认证以及定期的权限审查 [23] - 可进一步采用动态水印、屏幕截图阻止等技术来震慑和追踪泄密源，自适应防护技术可在检测到异常时自动撤销访问权限 [23] - 内部风险管理需要一个整体、主动的策略，不仅是技术问题，也涉及“人”的问题，需制定清晰的政策和处罚机制，并在招聘环节进行背景调查 [23]