信息安全的“人肉搜索”与“工业密码”——从真实案例看职工防线的必要性

admin

在信息技术飞速发展的今天,企业的业务已深度嵌入自动化、数字化、信息化的融合生态。生产线上的 PLC、云端的 SaaS、办公桌面上的协作工具,都在为效率提升注入强劲动力。然而,正当我们沉醉于技术红利时,暗流也在悄然涌动——一次不经意的疏忽,就可能把整个组织推向不可收拾的灾难边缘。

头脑风暴:三个典型且富有教育意义的安全事件

下面,我将通过 三起 近期公开报道的真实安全事件,进行深入剖析。每一个案例都直指企业防护的薄弱环节,也为我们后续的安全意识培训提供了鲜活教材。

案例一:Osiris 勒索软件利用 BYOVD 技术“暗杀”防护工具

2025 年 11 月,一家东南亚大型餐饮连锁系统在夜间被“Osiris”勒索软件侵入。攻击者首先植入名为 POORTRY(又称 Abyssworker)的恶意驱动,以 BYOVD(Bring‑Your‑Own‑Vulnerable‑Driver) 方式,伪装成 Malwarebytes 组件,成功关闭了系统上所有主要的防病毒、EDR 与行为监控进程。随后,勒索软件启动,加密关键业务数据并留下 .Osiris 扩展名的文件。

这起事件的关键点在于:攻击者不是通过传统的漏洞利用或钓鱼邮件直接进入系统,而是先行在系统中植入一个看似合法的驱动,利用 Windows 对驱动签名的信任链进行“借尸还魂”。一旦驱动成功加载,便可在内核层面禁用安全产品,形成 “安全工具失效” 的零日攻击路径

案例二:FortiCloud SSO 绕过导致企业云平台被劫持

2024 年 12 月,Fortinet 官方发布安全通报,提示 FortiCloud 单点登录(SSO)功能存在未授权访问漏洞。该漏洞允许攻击者构造特制的 SAML 断言,直接获取管理员权限,进而对已更新的 FortiGate 防火墙进行配置篡改、策略泄露甚至植入后门。

该事件突显了 身份与访问管理(IAM) 在云环境中的重要性。一旦 SSO 失效,攻击者就可以跨系统、跨平台横向移动,利用已有的信任关系实现“一次登录,多点渗透”。更值得警惕的是,部分企业在部署 SSO 时,往往忽视了第三方供应商的安全评估,导致供应链风险被放大。

案例三:老旧 telnetd 漏洞(CVE‑2026‑24061)横空出世,攻击者“一键”入侵

在 2026 年 1 月底,安全研究员披露了一个 11 年未修补的 telnetd 漏洞(CVE‑2026‑24061),影响所有使用 GNU InetUtils 的 Linux 发行版。该漏洞允许攻击者在未授权的情况下,以明文方式获取系统登录凭证,并利用默认密码进行远程代码执行。

表面上看,这似乎是一个“老古董”漏洞,却在当下仍然有 极高的危害性。首先,telnet 在很多工业控制系统(ICS)和旧设备中仍被用于远程运维;其次,许多组织在迁移到 SSH 前,忘记关闭 telnet 服务,给攻击者提供了“后门”。事实证明,“安全的盲点往往是我们熟悉且忽视的老旧技术”

案例深度剖析:为何这些攻击成功?

1. BYOVD —— 从驱动层面“斩草除根”

  • 技术细节:攻击者利用 POORTY 驱动伪装成合法签名的组件,借助 Windows Kernel‑Mode Driver Framework (KMDF) 的加载机制,直接在内核空间运行。
  • 防御盲点:多数企业安全产品(AV/EDR)仅在用户态进行监控,缺乏对 内核驱动行为 的细粒度审计。
  • 教训:必须强化 驱动白名单、签名验证、内核完整性监测,并结合 硬件根信任(TPM、Secure Boot),提升驱动层面的防御深度。

2. SSO 绕过 —— “信任链断裂”导致横向渗透

  • 技术细节:攻击者通过操纵 SAML Assertion,伪造身份信息并利用缺失的签名校验漏洞,获取管理员 Token。
  • 防御盲点:企业在采用 SSO 时,往往只检查身份提供者(IdP)的安全性,却忽视服务提供者(SP)对 Assertion 的严格验证
  • 教训:应实施 最小特权原则(Least Privilege)多因素认证(MFA)严格的 SAML 签名和时间戳校验,并定期审计 IdP 与 SP 的安全配置。

3. 老旧 telnetd 漏洞 —— “遗产系统”潜伏的暗流

  • 技术细节:telnetd 在处理用户输入时缺乏足够的 缓冲区检查,导致整数溢出,攻击者可注入任意指令。
  • 防御盲点:组织在资产清点时,往往仅关注 新建资产,对 已上线多年、早已脱轨的系统缺乏监控。
  • 教训:必须进行 全网资产发现,对 已停用或不再维护的服务进行 强制关闭或隔离,并建立 老旧系统的安全加固基线

自动化、数字化、信息化融合时代的安全挑战

1. 自动化带来的“脚本即攻击面”

随着 CI/CD、IaC(Infrastructure as Code) 以及 机器人流程自动化(RPA) 的普及,业务系统的大部分配置、部署、运维都被脚本化。一次 脚本误写或凭证泄漏,便可能导致 批量系统被攻击者利用

  • 案例呼应:Osiris 使用的 Rclone、Mimikatz、RustDesk 等脚本工具,正是通过自动化手段快速横向移动的典型。

2. 数字化转型中的 供应链风险

企业在引入 云服务、SaaS、第三方组件 时,往往把 安全责任 推给供应商。FortiCloud SSO 漏洞揭示:如果供应商的安全事件未能及时通报,整个供应链都会被波及。

3. 信息化浪潮下的 数据资产膨胀

ERP、CRMIoT 传感器,数据量呈指数级增长。数据泄露、勒索、黑市交易的收益也随之水涨船高。

  • 案例呼应:Osiris 在加密前先通过 Rclone 把被窃取的数据上传至 Wasabi,形成 双重敲诈(勒索 + 数据泄露)。

我们为什么要“主动出击”——加入信息安全意识培训的必然性

1. 从“技术防线”到“人因防线”

技术防护可以抵御 已知漏洞,但 人因失误(如钓鱼、密码重用、离职员工未及时撤权)仍是最常见的攻击入口。只有 全员安全意识,才能把技术防线与人因防线有效结合。

2. “安全即生产力”——信息安全是数字化的底层支撑

工业互联网智慧园区 场景中,一次 PLC 被攻击 可能导致生产线停摆、经济损失数十万元。通过提升每位职工的安全认知,能够在第一时间发现异常,快速响应,避免因延误导致的连锁反应。

3. “不怕千难万险,只怕不学不练”——培训是最经济的防御投资

据 Gartner 统计,安全培训每投入 1 美元,可帮助组织降低 2.5 美元的安全事故成本。我们即将开展的 信息安全意识培训,将覆盖以下核心模块:

  • 社交工程识别:如何辨别钓鱼邮件、恶意链接、假冒身份。
  • 密码与凭证管理:强密码策略、密码管理器、MFA 的正确使用。
  • 终端安全:驱动白名单、内核完整性、日志审计。
  • 云与身份安全:SSO 正确配置、最小权限、访问审计。
  • 老旧系统治理:资产清点、服务停用、漏洞管理。
  • 应急响应演练:从发现到隔离、从取证到恢复的全流程。

防患于未然,非止于技术,更在于每一位员工的警觉与自律。” ——《礼记·中庸》

行动指南:从现在开始,和安全共舞

  1. 立即自查:登录公司内部安全门户,下载资产清单模板,对自己负责的系统、设备、服务进行一次全盘检查。特别留意是否仍在运行 telnet、是否存在未签名驱动。
  2. 加入培训:本月 20 日至 27 日 将开启 信息安全意识线上直播(共 4 场),请在公司内部日程系统中预定时间,务必全员参与。
  3. 实行多因素:对所有关键系统(VPN、云平台、内部管理系统)开启 MFA,并在下一次密码更新时使用密码管理器生成随机密码。
  4. 报告异常:任何可疑的邮件、登录、网络流量,请立即在 安全服务台 提交工单,配合安全团队进行快速验证。
  5. 持续学习:每月阅读 SecurityAffairsCISA 等权威安全博客的最新通报,保持对 零日、供应链漏洞 的敏感度。

千里之行,始于足下”,安全之路亦是如此。让我们从今天的每一次点击、每一次登录、每一次配置,都注入安全思维,使企业在数字化浪潮中行稳致远。

结语:安全不是“一次性任务”,而是“一种长期习惯”

在数字化、自动化的今天,技术的升级速度远快于安全防护的成熟度。只有当每位职工都将安全视作工作的一部分,当安全意识渗透到每一次操作、每一次沟通,企业才能在复杂多变的威胁环境中保持主动,化被动为主动,真正实现 “防御可视、响应可控、治理可持续”

让我们共同期待,信息安全意识培训的成果在日常工作中落地生根,让安全成为企业最坚实的竞争优势。

安全从心,防护从行!

昆明亭长朗然科技有限公司关注信息保密教育,在课程中融入实战演练,使员工在真实场景下锻炼应对能力。我们的培训方案设计精巧,确保企业在面临信息泄露风险时有所准备。欢迎有兴趣的客户联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898