網絡安全風險不僅來自外部黑客,內部威脅同樣不容忽視。美國德州一名軟件開發員因對前僱主網絡實施「蓄意破壞」被聯邦陪審團定罪,面臨最高 10 年監禁。今次事件顯示了前員工報復性破壞行為對企業構成的嚴重安全威脅,以及內部權限管理不當可能帶來的災難性後果,再次成為科技界話題。
根據美國司法部的資料,55 歲的 Davis Lu 在 2018 年公司重組後職責和系統存取權限被削減,隨後開始對前僱主的系統進行破壞活動。Davis 被指控建立並實施了一個「自爆裝置」(kill switch),該機制設計為:一旦 Davis 的身份憑證被停用,公司所有員工將被鎖定在網絡之外。檢察官表示,Davis 將這個自爆裝置代碼命名為「IsDLEnabledinAD」,直接參照 Davis 的帳戶在公司 Active Directory(活動目錄)中是否啟用。
當 Davis 於 2019 年 9 月 9 日離開公司時,這個自爆裝置被觸發,導致系統大範圍故障,影響了全球數千名員工的工作。據司法部稱,Davis 的行為給公司造成了「數十萬美元的損失」。根據法院的審案日程,Davis 的量刑將於 6 月 23 日進行。
這起案件的關鍵在於 Davis 利用其內部知識和存取權限,精心設計了一個在他離職時自動觸發的破壞機制。更令人擔憂的是,這種惡意代碼可能在系統中潛伏很長時間而不被發現,直到觸發條件滿足才顯現其破壞性。
企業應小心處理員工離職
今次事件顯示了內部威脅的嚴重性。雖然外部黑客攻擊經常成為頭條新聞,但擁有系統內部知識和存取權限的員工或前員工可能造成更大的傷害。根據網絡安全研究,內部威脅通常比外部攻擊更難檢測,且造成的平均損失更高。
對此,企業需要重新審視權限管理策略。Davis 案例表明,過度集中的系統權限可能給企業帶來嚴重風險。「最小權限原則」(Principle of Least Privilege)應成為企業 IT 策略的基石——員工只應擁有完成其工作所必需的最小權限,而非全面存取權。而且,員工離職流程需要更加嚴格和系統化。離職流程不僅僅是收回門禁卡和筆記本電腦,還應包括全面審查和撤銷所有數字存取權限,檢查可能存在的後門或時間炸彈。企業應建立標準化的技術離職清單,確保每個存取點都得到妥善處理。
要防範類似事故,持續監控和審計系統變更同樣相當重要。如果 Davis 的公司擁有更強大的變更管理流程和代碼審查機制,可能會提前發現這個隱藏的「自爆裝置」。企業應實施代碼審查制度,定期審計關鍵系統,並追蹤異常活動,尤其是涉及系統管理員權限的操作。
此外企業也需要建立健康的員工關係和離職管理文化。Davis 的行為發生在公司重組後他的職責被削減的背景下,這提醒企業在進行組織變革時需要更加關注員工感受和潛在不滿,建立透明的溝通渠道和適當的申訴機制,以減少報復行為的可能性。
未來相關審查機制將更為嚴格
隨著企業數碼轉型加速和遙距工作模式普及,內部安全威脅將成為更加嚴重的挑戰。零信任安全模式預計會繼續變得普及,這個模式基於「永不信任,始終驗證」的原則,要求對每個試圖存取資源的用戶和設備進行持續認證,無論他們是在網絡內部還是外部。這能有效減少像 Davis 這樣的內部人員濫用權限的風險。
而人工智能和機器學習也可以在異常行為檢測中發揮更大作用。這些技術能夠學習用戶的正常行為模式,並在偵測到異常活動時發出警報,如大量文件下載、非工作時間的系統存取或異常代碼提交。而供應鏈安全審查也有望獲得更高重視,例如包括對開發人員的背景調查和心理評估,特別是對於擁有高權限的員工,企業將實施更全面的篩選和定期評估機制。
來源:TechCrunch