近年來，隨著裁員風(fēng)暴席卷全球企業(yè)，離職員工“刪庫跑路”事件日益頻繁，往往給企業(yè)造成重大損失。

近日，新加坡國家計算機系統(tǒng)公司（National Computer Systems，簡稱NCS）的一名前質(zhì)量保證工程師因惡意刪除180個虛擬服務(wù)器，被判處兩年零八個月的監(jiān)禁。

39歲的Nagaraju Kandula承認(rèn)在被NCS解雇后，為了報復(fù)公司刪除了這些虛擬服務(wù)器，造成了67.8萬美元的損失。

一天刪除180臺虛擬服務(wù)器

NCS是一家總部位于新加坡的IT巨頭，是新電信集團(tuán)（Singtel Group）的子公司，在亞太地區(qū)20多個城市運營，擁有1.3萬名員工。Kandula是NCS質(zhì)量保證團(tuán)隊的一員，負(fù)責(zé)在NCS推出新軟件和程序之前進(jìn)行測試。

因工作表現(xiàn)不佳，Kandula于2022年11月16日被解雇。然而，NCS未能及時注銷他的系統(tǒng)訪問權(quán)限，使他在被解雇后仍能訪問公司的系統(tǒng)。

根據(jù)CNA（新加坡亞洲新聞臺）查閱的法院文件內(nèi)容，Nagaraju在2023年1月至3月期間利用未失效的賬戶憑證，13次訪問NCS系統(tǒng)。期間，他測試了用于刪除質(zhì)量保證團(tuán)隊管理的虛擬服務(wù)器的自定義腳本。

刪除操作于3月18日至19日執(zhí)行，180臺虛擬服務(wù)器被刪除，造成了估計為67.8萬美元的損失。

在發(fā)現(xiàn)破壞性攻擊并意識到被刪除服務(wù)器無法恢復(fù)后，NCS向警方報案。警方于2023年4月11日追查到一個與Kandula相關(guān)的IP地址。

最終，執(zhí)法部門沒收了Kandula的筆記本電腦，發(fā)現(xiàn)了用于刪除虛擬服務(wù)器的腳本。調(diào)查人員還提到，Kandula編寫腳本前通過Google搜索如何刪除虛擬服務(wù)器，但他的互聯(lián)網(wǎng)瀏覽歷史也暴露了他的行為。

刪庫跑路重大事件頻發(fā)

NCS工程師“刪庫跑路”案例突顯了組織在解雇員工后，及時阻止其訪問關(guān)鍵系統(tǒng)的重要性（例如重置所有他們可能知道或使用過的管理員賬戶密碼），否則包括離職員工報復(fù)在內(nèi)的內(nèi)部威脅可能會導(dǎo)致災(zāi)難性的攻擊，給公司帶來巨大的財務(wù)損失、業(yè)務(wù)中斷，甚至引發(fā)物理風(fēng)險。

根據(jù)Ponemon Institue的調(diào)查，2023年內(nèi)部威脅給企業(yè)帶來的平均損失高達(dá)1620萬美元：

除了損失持續(xù)增長外，近年來重大內(nèi)部威脅事件更是層出不窮。今年早些時候，一名前思科工程師承認(rèn)部署代碼，刪除了456臺虛擬機，導(dǎo)致超過1.6萬個WebEx Teams賬戶被關(guān)閉。

由于員工疏忽或者惡意行為導(dǎo)致的重大數(shù)據(jù)丟失、泄露案例還有很多，例如：

• 支付應(yīng)用Cash App離職員工竊取客戶數(shù)據(jù)：2022年4月，一名心懷不滿的前員工竊取了移動支付服務(wù)Cash App的用戶數(shù)據(jù)。導(dǎo)致820萬Cash App客戶的數(shù)據(jù)泄露。在事件發(fā)生四個月后Cash App才通知受影響的客戶，導(dǎo)致該公司面臨用戶的集體訴訟。
• 特斯拉員工泄密：2023年5月，兩名特斯拉前員工向一家德國新聞媒體（德國商報）提供了大量特斯拉機密信息，包括超過23,000份特斯拉內(nèi)部文件，總計近100GB的機密數(shù)據(jù)。這些文件包括員工PII、客戶財務(wù)信息、特斯拉生產(chǎn)機密以及客戶對特斯拉電動汽車功能的投訴。此次泄露事件導(dǎo)致75,000人的個人數(shù)據(jù)被泄露，由于對敏感個人數(shù)據(jù)的保護(hù)不足，可能會導(dǎo)致33億美元的GDPR罰款。

2021年，特斯拉還曾對一名前質(zhì)量保證工程師提起訴訟，指控其在離職前將公司的后臺軟件代碼和文件復(fù)制到自己的Dropbox賬戶。

• 雅虎研究科學(xué)家竊取知識產(chǎn)權(quán)信息：2022年雅虎指控其前研究科學(xué)家桑倩（曾擔(dān)任雅虎研究科學(xué)家）于2022年2月竊取了公司的知識產(chǎn)權(quán)。雅虎在進(jìn)行取證調(diào)查后發(fā)現(xiàn)，桑涉嫌下載了57萬個文件，其中包含各種敏感信息和雅虎實時廣告購買引擎AdLearn的源代碼。根據(jù)雅虎的說法，桑倩打算利用竊取的數(shù)據(jù)從雅虎競爭對手TheTradeDesk那里獲取經(jīng)濟(jì)利益。事發(fā)前，桑倩曾收到他們的工作邀請。該公司還聲稱桑竊取了其他機密信息，包括雅虎的戰(zhàn)略計劃和TheTradeDesk的競爭分析。
• Century21人力資源系統(tǒng)管理員預(yù)埋超級賬戶：該管理員在被解雇前，創(chuàng)建了一個超級用戶賬戶，刪除數(shù)據(jù)、更改用戶訪問權(quán)限，并修改公司的工資政策。
• Reddit員工憑證被釣魚：2023年6月，一名Reddit員工在訪問一個偽裝成內(nèi)部網(wǎng)站的釣魚網(wǎng)頁后泄露了憑證，導(dǎo)致攻擊者訪問了部分Reddit系統(tǒng)并泄露了用戶數(shù)據(jù)。
• Stradis Healthcare副總裁刪除關(guān)鍵數(shù)據(jù)：2020年3月，Stradis Healthcare公司的一名副總裁在被解雇后使用自己創(chuàng)建的秘密賬戶訪問公司的運輸系統(tǒng)并刪除關(guān)鍵數(shù)據(jù)，導(dǎo)致個人防護(hù)設(shè)備（PPE）交付延誤。
• 波音員工發(fā)送敏感數(shù)據(jù)：2017年，一名波音員工將包含36000名同事個人信息的電子表格發(fā)送到其妻子的個人電子郵件賬戶，導(dǎo)致數(shù)據(jù)泄露。
• Mailchimp員工被釣魚：2022年全年，Mailchimp及其合作伙伴成為網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)并遭受了多次攻擊。2023年1月，黑客成功實施了一次網(wǎng)絡(luò)釣魚攻擊，并誘騙至少一名Mailchimp員工泄露了他們的憑證。此次數(shù)據(jù)泄露導(dǎo)致至少133個Mailchimp用戶帳戶被盜用。受影響的一些帳戶屬于WooCommerce、Statista、Yuga Labs、Solana Foundation和FanDuel等企業(yè)。

總結(jié)與建議

內(nèi)部威脅事件頻發(fā)為企業(yè)敲響了警鐘。根據(jù)code42最新發(fā)布的《2024年數(shù)據(jù)泄露報告》超過一半的數(shù)據(jù)丟失事件（55%）是惡意行為的結(jié)果——無論是心懷不滿的員工故意泄露敏感信息以損害公司，還是惡意內(nèi)部人員向競爭對手出售商業(yè)機密。

企業(yè)需要學(xué)會從事件中吸取教訓(xùn)，改進(jìn)安全措施，才能有效避免此類損害再度發(fā)生。以下為專家給出的緩解內(nèi)部風(fēng)險的建議：

• 重視安全意識培訓(xùn)。高度重視網(wǎng)絡(luò)釣魚和其他社交工程技術(shù)的防御。要防止此類攻擊，需要定期對員工和合作伙伴進(jìn)行網(wǎng)絡(luò)安全意識培訓(xùn)（尤其是網(wǎng)絡(luò)釣魚和社會工程攻擊的識別和處理），而不能僅僅依賴安全軟件。
• 使用正確的安全工具。例如，員工監(jiān)控軟件可以使安全團(tuán)隊及時發(fā)現(xiàn)可疑活動并做出反應(yīng)，從而防止惡意活動。USB設(shè)備管理解決方案還可以幫助安全人員檢測未知外部存儲設(shè)備的連接。雙因素身份驗證(2FA)工具可以阻止攻擊者成功使用被盜憑證。特權(quán)訪問管理(PAM)可控制哪些用戶可以訪問哪些端點。好的AI和自動化工具可以彌補員工安全技能差距。數(shù)據(jù)安全態(tài)勢管理工具可以提高數(shù)據(jù)資產(chǎn)的可見性，有助于及早識別并緩解潛在內(nèi)部威脅。