核心基础设施工程师认罪：一起内部攻击事件的安全警示

当Daniel Rhyne于4月1日就其对前雇主发动内部勒索攻击一事认罪时，当局详细列举了他所使用的攻击手段，包括：未经授权的远程桌面会话、删除网络管理员账户、修改密码，以及在域控制器上计划未经授权的任务。

在关闭关键系统和账户之后，他向员工发送了一封信，声称已删除所有备份，并威胁称除非获得价值约75万美元的比特币，否则将持续关闭服务器。

然而，令顾问和分析师最为担忧的，是他所使用的技术手段是多么普通和常规。换句话说，标准的安全操作流程本应能阻止几乎所有这些攻击。

企业内部威胁并不是什么新鲜事，但顾问和分析师指出，许多企业并未采取所有可能且应该采取的预防措施。究其原因，IT人员往往对此产生抵触情绪，认为相关举措是对自身行为的过度监控，同时也会拖慢工作效率。

网络安全顾问、FormerGov执行董事Brian Levine表示："这个案例之所以值得关注，恰恰在于攻击路径的无聊与可预见性。"

Levine指出，备份必须始终保持不可篡改的状态。"公司内任何人都不应该能够在规定时间内删除、修改或加密备份，"他说。他还强调，最小权限原则必须适用于任何因职责变化而调整权限的员工。

更关键的是，他认为某些工具的使用应立即被标记为高风险信号。"任务计划程序、PsExec、PsPasswd和net user都是高风险信号，相当于内部人员的万能钥匙，"他说，"一旦这些工具被大规模使用、在非工作时间使用或从异常主机上使用，应立即触发行为告警。"

Levine还建议建立全面的系统监控机制。"如果有人在早上7点48分通过远程桌面连接到域控制器并创建了16个计划任务，你应该拥有类似录像的审计记录。"

Gartner高级副总裁分析师Paul Furtado表示，他建议客户确保没有任何单一管理员能够造成此类破坏。

"建立分层管理模型，实施权限碎片化，即便是高级工程师和管理员，也应轮换对核心流程的管理权，"Furtado建议道。IT部门还应设置"存储在硬件安全模块或数字保险库中的紧急管理员凭证，仅在演练测试和紧急情况下才能使用。"

LexisNexis风险解决方案集团首席信息安全官Flavio Villanustre补充道："在Rhyne案例中，用于管理网络的同一批账户，似乎也拥有不可逆地销毁备份的权限，这说明强有力的职责分离机制并未到位。"

Rhyne目前面临严重的刑事处罚。美国司法部文件显示："Rhyne认罪的勒索罪名最高可判处5年有期徒刑，其认罪的故意破坏受保护计算机罪名最高可判处10年有期徒刑。"

Q&A

Q1：Daniel Rhyne在攻击中具体使用了哪些技术手段？

A：Daniel Rhyne主要利用了未经授权的远程桌面会话（RDP）连接到域控制器，删除网络管理员账户，批量修改账户密码，并借助任务计划程序、PsExec、PsPasswd及net user等工具在域控制器上创建未授权任务。攻击完成后，他声称删除了所有备份，以此向公司勒索价值约75万美元的比特币。

Q2：企业应如何防范内部人员发起的勒索攻击？

A：安全专家建议从以下几方面入手：一是确保备份不可篡改，任何人员在规定时间内均不得删除或修改备份；二是严格落实最小权限原则，避免同一账户同时拥有管理和销毁数据的权限；三是建立分层权限管理和职责分离机制；四是对PsExec、任务计划程序等高风险工具的异常使用行为设置实时告警；五是保留类似录像的操作审计记录。

Q3：此次事件中暴露出哪些企业安全管理的常见漏洞？

A：本案暴露了多个典型的安全管理缺失：管理账户权限过度集中，缺乏职责分离；备份未设置不可篡改保护；对高风险工具的使用缺乏监控告警；以及没有建立紧急凭证管理机制。安全专家指出，上述问题在企业中相当普遍，主要原因是IT人员担心过度监控会影响工作效率，从而对相关安全措施产生抵触。