近年來(lái)，隨著裁員風(fēng)暴席卷全球企業(yè)，離職員工“刪庫(kù)跑路”事件日益頻繁，往往給企業(yè)造成重大損失。

近日，新加坡國(guó)家計(jì)算機(jī)系統(tǒng)公司（National Computer Systems，簡(jiǎn)稱NCS）的一名前質(zhì)量保證工程師因惡意刪除180個(gè)虛擬服務(wù)器，被判處兩年零八個(gè)月的監(jiān)禁。

39歲的Nagaraju Kandula承認(rèn)在被NCS解雇后，為了報(bào)復(fù)公司刪除了這些虛擬服務(wù)器，造成了67.8萬(wàn)美元的損失。

一天刪除180臺(tái)虛擬服務(wù)器

NCS是一家總部位于新加坡的IT巨頭，是新電信集團(tuán)（Singtel Group）的子公司，在亞太地區(qū)20多個(gè)城市運(yùn)營(yíng)，擁有1.3萬(wàn)名員工。Kandula是NCS質(zhì)量保證團(tuán)隊(duì)的一員，負(fù)責(zé)在NCS推出新軟件和程序之前進(jìn)行測(cè)試。

因工作表現(xiàn)不佳，Kandula于2022年11月16日被解雇。然而，NCS未能及時(shí)注銷他的系統(tǒng)訪問(wèn)權(quán)限，使他在被解雇后仍能訪問(wèn)公司的系統(tǒng)。

根據(jù)CNA（新加坡亞洲新聞臺(tái)）查閱的法院文件內(nèi)容，Nagaraju在2023年1月至3月期間利用未失效的賬戶憑證，13次訪問(wèn)NCS系統(tǒng)。期間，他測(cè)試了用于刪除質(zhì)量保證團(tuán)隊(duì)管理的虛擬服務(wù)器的自定義腳本。

刪除操作于3月18日至19日?qǐng)?zhí)行，180臺(tái)虛擬服務(wù)器被刪除，造成了估計(jì)為67.8萬(wàn)美元的損失。

在發(fā)現(xiàn)破壞性攻擊并意識(shí)到被刪除服務(wù)器無(wú)法恢復(fù)后，NCS向警方報(bào)案。警方于2023年4月11日追查到一個(gè)與Kandula相關(guān)的IP地址。

最終，執(zhí)法部門(mén)沒(méi)收了Kandula的筆記本電腦，發(fā)現(xiàn)了用于刪除虛擬服務(wù)器的腳本。調(diào)查人員還提到，Kandula編寫(xiě)腳本前通過(guò)Google搜索如何刪除虛擬服務(wù)器，但他的互聯(lián)網(wǎng)瀏覽歷史也暴露了他的行為。

刪庫(kù)跑路重大事件頻發(fā)

NCS工程師“刪庫(kù)跑路”案例突顯了組織在解雇員工后，及時(shí)阻止其訪問(wèn)關(guān)鍵系統(tǒng)的重要性（例如重置所有他們可能知道或使用過(guò)的管理員賬戶密碼），否則包括離職員工報(bào)復(fù)在內(nèi)的內(nèi)部威脅可能會(huì)導(dǎo)致災(zāi)難性的攻擊，給公司帶來(lái)巨大的財(cái)務(wù)損失、業(yè)務(wù)中斷，甚至引發(fā)物理風(fēng)險(xiǎn)。

根據(jù)Ponemon Institue的調(diào)查，2023年內(nèi)部威脅給企業(yè)帶來(lái)的平均損失高達(dá)1620萬(wàn)美元：

除了損失持續(xù)增長(zhǎng)外，近年來(lái)重大內(nèi)部威脅事件更是層出不窮。今年早些時(shí)候，一名前思科工程師承認(rèn)部署代碼，刪除了456臺(tái)虛擬機(jī)，導(dǎo)致超過(guò)1.6萬(wàn)個(gè)WebEx Teams賬戶被關(guān)閉。

由于員工疏忽或者惡意行為導(dǎo)致的重大數(shù)據(jù)丟失、泄露案例還有很多，例如：

• 支付應(yīng)用Cash App離職員工竊取客戶數(shù)據(jù)：2022年4月，一名心懷不滿的前員工竊取了移動(dòng)支付服務(wù)Cash App的用戶數(shù)據(jù)。導(dǎo)致820萬(wàn)Cash App客戶的數(shù)據(jù)泄露。在事件發(fā)生四個(gè)月后Cash App才通知受影響的客戶，導(dǎo)致該公司面臨用戶的集體訴訟。
• 特斯拉員工泄密：2023年5月，兩名特斯拉前員工向一家德國(guó)新聞媒體（德國(guó)商報(bào)）提供了大量特斯拉機(jī)密信息，包括超過(guò)23,000份特斯拉內(nèi)部文件，總計(jì)近100GB的機(jī)密數(shù)據(jù)。這些文件包括員工PII、客戶財(cái)務(wù)信息、特斯拉生產(chǎn)機(jī)密以及客戶對(duì)特斯拉電動(dòng)汽車功能的投訴。此次泄露事件導(dǎo)致75,000人的個(gè)人數(shù)據(jù)被泄露，由于對(duì)敏感個(gè)人數(shù)據(jù)的保護(hù)不足，可能會(huì)導(dǎo)致33億美元的GDPR罰款。

2021年，特斯拉還曾對(duì)一名前質(zhì)量保證工程師提起訴訟，指控其在離職前將公司的后臺(tái)軟件代碼和文件復(fù)制到自己的Dropbox賬戶。

• 雅虎研究科學(xué)家竊取知識(shí)產(chǎn)權(quán)信息：2022年雅虎指控其前研究科學(xué)家桑倩（曾擔(dān)任雅虎研究科學(xué)家）于2022年2月竊取了公司的知識(shí)產(chǎn)權(quán)。雅虎在進(jìn)行取證調(diào)查后發(fā)現(xiàn)，桑涉嫌下載了57萬(wàn)個(gè)文件，其中包含各種敏感信息和雅虎實(shí)時(shí)廣告購(gòu)買引擎AdLearn的源代碼。根據(jù)雅虎的說(shuō)法，桑倩打算利用竊取的數(shù)據(jù)從雅虎競(jìng)爭(zhēng)對(duì)手TheTradeDesk那里獲取經(jīng)濟(jì)利益。事發(fā)前，桑倩曾收到他們的工作邀請(qǐng)。該公司還聲稱桑竊取了其他機(jī)密信息，包括雅虎的戰(zhàn)略計(jì)劃和TheTradeDesk的競(jìng)爭(zhēng)分析。
• Century21人力資源系統(tǒng)管理員預(yù)埋超級(jí)賬戶：該管理員在被解雇前，創(chuàng)建了一個(gè)超級(jí)用戶賬戶，刪除數(shù)據(jù)、更改用戶訪問(wèn)權(quán)限，并修改公司的工資政策。
• Reddit員工憑證被釣魚(yú)：2023年6月，一名Reddit員工在訪問(wèn)一個(gè)偽裝成內(nèi)部網(wǎng)站的釣魚(yú)網(wǎng)頁(yè)后泄露了憑證，導(dǎo)致攻擊者訪問(wèn)了部分Reddit系統(tǒng)并泄露了用戶數(shù)據(jù)。
• Stradis Healthcare副總裁刪除關(guān)鍵數(shù)據(jù)：2020年3月，Stradis Healthcare公司的一名副總裁在被解雇后使用自己創(chuàng)建的秘密賬戶訪問(wèn)公司的運(yùn)輸系統(tǒng)并刪除關(guān)鍵數(shù)據(jù)，導(dǎo)致個(gè)人防護(hù)設(shè)備（PPE）交付延誤。
• 波音員工發(fā)送敏感數(shù)據(jù)：2017年，一名波音員工將包含36000名同事個(gè)人信息的電子表格發(fā)送到其妻子的個(gè)人電子郵件賬戶，導(dǎo)致數(shù)據(jù)泄露。
• Mailchimp員工被釣魚(yú)：2022年全年，Mailchimp及其合作伙伴成為網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)并遭受了多次攻擊。2023年1月，黑客成功實(shí)施了一次網(wǎng)絡(luò)釣魚(yú)攻擊，并誘騙至少一名Mailchimp員工泄露了他們的憑證。此次數(shù)據(jù)泄露導(dǎo)致至少133個(gè)Mailchimp用戶帳戶被盜用。受影響的一些帳戶屬于WooCommerce、Statista、Yuga Labs、Solana Foundation和FanDuel等企業(yè)。

總結(jié)與建議

內(nèi)部威脅事件頻發(fā)為企業(yè)敲響了警鐘。根據(jù)code42最新發(fā)布的《2024年數(shù)據(jù)泄露報(bào)告》超過(guò)一半的數(shù)據(jù)丟失事件（55%）是惡意行為的結(jié)果——無(wú)論是心懷不滿的員工故意泄露敏感信息以損害公司，還是惡意內(nèi)部人員向競(jìng)爭(zhēng)對(duì)手出售商業(yè)機(jī)密。

企業(yè)需要學(xué)會(huì)從事件中吸取教訓(xùn)，改進(jìn)安全措施，才能有效避免此類損害再度發(fā)生。以下為專家給出的緩解內(nèi)部風(fēng)險(xiǎn)的建議：

• 重視安全意識(shí)培訓(xùn)。高度重視網(wǎng)絡(luò)釣魚(yú)和其他社交工程技術(shù)的防御。要防止此類攻擊，需要定期對(duì)員工和合作伙伴進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)（尤其是網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊的識(shí)別和處理），而不能僅僅依賴安全軟件。
• 使用正確的安全工具。例如，員工監(jiān)控軟件可以使安全團(tuán)隊(duì)及時(shí)發(fā)現(xiàn)可疑活動(dòng)并做出反應(yīng)，從而防止惡意活動(dòng)。USB設(shè)備管理解決方案還可以幫助安全人員檢測(cè)未知外部存儲(chǔ)設(shè)備的連接。雙因素身份驗(yàn)證(2FA)工具可以阻止攻擊者成功使用被盜憑證。特權(quán)訪問(wèn)管理(PAM)可控制哪些用戶可以訪問(wèn)哪些端點(diǎn)。好的AI和自動(dòng)化工具可以彌補(bǔ)員工安全技能差距。數(shù)據(jù)安全態(tài)勢(shì)管理工具可以提高數(shù)據(jù)資產(chǎn)的可見(jiàn)性，有助于及早識(shí)別并緩解潛在內(nèi)部威脅。