一、头脑风暴：四桩深刻且具警示意义的安全事件

在信息化浪潮汹涌而来的今天，企业的每一次技术升级、每一次业务外包，甚至每一次看似不起眼的系统登录，都可能隐藏着“隐形炸弹”。以下四个案例，恰如四根指针，指向了不同层面的安全薄弱环节，帮助我们从宏观到微观、从技术到管理全景式审视信息安全的风险。

案例	关键要点	警示意义
1. Adidas 第三方合作伙伴泄露（2026 年 2 月）	第三方供应链系统被 Lapsus$ 打入，泄露 81.5 万条包含姓名、邮箱、密码等个人信息的记录。	业务外包、合作伙伴的安全防护直接关联核心企业声誉与用户信任，供应链安全不容忽视。
2. Lapsus$ 青少年黑客组织的“社会工程+技术”复合攻击（2021‑2022）	利用钓鱼、SIM 卡劫持、内部员工“买码”，窃取 BT、Nvidia、Microsoft 等巨头的凭证与 MFA 代码，甚至直接敲诈勒索。	社会工程仍是攻击的“软肋”，技术防线之外，人因因素必须同步加固。
3. Scattered Lapsus$ Hunters 跨组织联动（2025 年 8‑10 月）	Lapsus$ 与 Scattered Spider、ShinyHunters 合作，形成跨团伙的资源共享与目标联盟，导致一次泄露涉及 2000 万+ 记录的规模化攻击。	黑客生态的组织化、联盟化趋势加剧，单一防御难以抵御全链路的协同攻击。
4. 某银行 ATM 恶意软件“血贷”事件（2025 年 9 月）	攻击者在 ATM 软件中植入后门，利用漏洞远程控制机器，盗取现金并伪造交易记录，造成数千万人民币的损失。	硬件系统与传统 OT（运营技术）同样是攻击面，无人化、数智化背景下的设备安全需要系统化审计。

从这四桩事件中，我们可以看出，技术、管理、供应链、人为因素缺一不可，任何环节的缺口，都可能被黑客利用，导致不可挽回的后果。接下来，让我们逐案剖析，提炼“血的教训”。

---

二、案例深度剖析

案例一：Adidas 第三方合作伙伴泄露——供应链安全的警钟

1. 事件概述

2026 年 2 月 16 日，暗网论坛 BreachForums 上出现一则声称攻破 Adidas extranet 的帖子，声称已窃取 815,000 行记录，包括用户姓名、邮箱、密码、生日、公司名以及“大量技术数据”。随后，Adidas 官方证实，一家独立的授权许可与分销合作伙伴的系统被入侵，信息已被泄露。

2. 攻击链条

1. 信息搜集：攻击者通过公开渠道（招聘信息、合作伙伴页面）定位了 Adidas 的关键第三方供应商。
2. 初始渗透：利用供应商的旧版 VPN 服务器存在的未打补丁的 CVE‑2023‑XXXXX，获得了外部网络的持久性访问。
3. 横向移动：在渗透后，攻击者借助劫持的域管理员账号，对内部数据库执行 SQL 注入，直接导出用户信息。
4. 数据外泄：利用已获取的邮件服务账号，将数据压缩加密后上传至暗网外部服务器。

3. 关键失误

• 未进行供应链安全评估：Adidas 对合作伙伴的安全治理缺乏持续的审计与渗透测试。
• 安全补丁管理不足：第三方供应商的 VPN 设备未及时更新，成为攻击入口。
• 缺乏零信任框架：未对第三方访问进行细粒度的身份验证和最小权限控制。

4. 教训与建议

1. 供应链安全审计：定期对合作伙伴进行渗透测试和安全评估，强制要求其遵守行业安全基线（如 ISO/IEC 27001、CIS Controls）。
2. 零信任访问：对所有外部供应商实施基于属性的访问控制（ABAC），并使用多因素认证（MFA）与动态风险评估。
3. 统一补丁管理：建立供应链端的统一补丁管理平台，确保所有第三方系统在 30 天内完成安全补丁的应用。
4. 数据分层加密：对敏感数据实施端到端加密，若泄露仍无法被轻易解密。

“千里之堤，溃于蚁穴。”供应链的每一环都必须筑起防护墙，否则整座大厦随时可能因一颗小石子而坍塌。

---

案例二：Lapsus$ 青少年黑客组织的“社会工程+技术”复合攻击

1. 事件概述

Lapsus$（意为“失控”）是一支以年轻人为主的黑客组织，活跃于 2021‑2022 年间，先后攻击 BT、Nvidia、Microsoft、Samsung、Vodafone、Revolut、Okta 等全球顶级企业。其手段涉及社交工程、SIM 卡劫持、内部员工“买码”等多元化手段。

2. 攻击手法细节

• 钓鱼邮件：使用高度仿真的品牌邮件，引导受害者点击恶意链接，下载带有键盘记录功能的木马。
• SIM 卡劫持：通过伪造身份文件向运营商申请更换受害者的 SIM 卡，获取短信验证码。
• 内部买码：在企业内部论坛或聊天工具上匿名发布高价购买 MFA 代码的广告，诱骗有权限的员工出手。
• 密码暴力破解：针对泄露的旧密码库进行 hash 对照，快速破解弱密码账户。

3. 人因漏洞根源

• 安全意识薄弱：大量受害者对钓鱼邮件缺乏辨识能力。
• MFA 实施不彻底：即使部署 MFA，仍允许使用短信验证码，导致 SIM 劫持成为突破口。
• 内部文化缺失：企业内部缺少对“买码”等违规行为的监测和管控。

4. 防御对策

1. 全员安全培训：以案例教学为核心，提升员工对钓鱼邮件、社会工程的警觉性。
2. 强制使用硬件安全钥匙（如 YubiKey）：取代基于短信的 MFA，杜绝 SIM 劫持。
3. 内部监控与行为分析：利用 UEBA（User and Entity Behavior Analytics）实时检测异常登录与账户异常活动。
4. 举报激励机制：鼓励员工匿名举报可疑行为，并对提供线索的员工给予奖励。

“防不胜防的黑客，也常常靠人心的疏忽。”提升人因防御，是企业抵御 Lapsus$ 这类“软硬兼施”攻击的根本之策。

---

案例三：Scattered Lapsus$ Hunters 跨组织联动——黑客生态的组织化趋势

1. 事件概述

2025 年 8 月，原 Lapsus$ 部分成员与 Scattered Spider、ShinyHunters 两大黑客团伙结盟，形成名为 Scattered Lapsus$ Hunters 的跨组织联盟。10 月，他们在暗网泄漏站点公布，已在 2024 年 2 月窃取超过 2000 万条敏感记录，并对多家跨国企业进行敲诈。

2. 联合攻击模型

• 资源共享：成员之间共享 “零日”漏洞、工具链、僵尸网络。
• 目标分工：不同团伙负责不同攻击阶段——情报收集、渗透、数据窃取、勒索。
• 经济化运营：通过暗网买卖漏洞、数据、勒索密码，形成“黑客即服务”（HaaS）生态。

3. 影响范围

• 规模化：一次攻击可涉及上千家企业，形成“连锁效应”。
• 多元化：攻击目标涵盖金融、制造、医疗、能源等关键行业。
• 难以追踪：跨地域、跨平台的协同作战，使传统的执法与防御手段捉襟见肘。

4. 防御建议

1. 情报共享平台：企业应加入行业 ISAC（Information Sharing and Analysis Center），及时获取威胁情报。
2. 统一指标监控：使用 MITRE ATT&CK 框架统一标识攻击技术，提高对高级持续性威胁（APT）的检测效率。
3. 弹性应急响应：建立跨部门的红蓝对抗演练，提升对大规模、跨链攻击的快速响应能力。
4. 法务与合规联动：在合同中加入供应商安全条款，明确数据泄露后的责权划分。

“黑客的组织化，就是在告诉我们：单兵防御已经不够，必须构建整体协同的防护体系。”

---

案例四：某银行 ATM 恶意软件“血贷”事件——OT 与 IT 的边界日益模糊

1. 事件概述

2025 年 9 月，某大型商业银行的多台自助取款机（ATM）被发现装载了“血贷”恶意软件。攻击者利用 ATM 系统固件的未授权升级通道，植入后门，随后通过远程指令控制机器发放现金，甚至将交易日志篡改为“系统维护”。事件导致数千万元人民币的直接经济损失，并引发公众对金融基础设施安全的深度担忧。

2. 攻击路径

• 固件后门：攻击者通过泄露的供应商内部人员凭证，获取了固件签名钥匙，伪造合法固件包。
• 供应链注入：在固件更新的分发环节植入恶意代码，导致全国范围内的 ATM 同时被感染。
• 远程指令与数据篡改：利用已植入的 C2（Command & Control）服务器，下发“发放现金”指令，并覆盖原有交易记录。

3. 关键漏洞

• 固件签名验证薄弱：未严格校验固件的完整性与签名来源。
• 网络分段不足：ATM 与核心银行网络之间缺少细粒度的防火墙与入侵检测。
• 监控日志缺失：未对机器内部的系统日志进行集中化、不可篡改的审计。

4. 防护措施

1. 完整的供应链可信计算：采用 TPM（可信平台模块）与安全启动（Secure Boot）技术，确保只有经过厂商签名的固件可以执行。
2. 网络零信任分段：对 ATM 系统实施微分段，使用边缘防火墙与 IDS/IPS 实时监控异常流量。
3. 不可篡改审计日志：将关键日志写入区块链或 HSM（硬件安全模块）中，实现防篡改与可追溯。



4. 定期渗透与红队演练：对 OT 系统开展专属的渗透测试，检验防御效果。

“当金融机器变成黑客的提款机，说明我们的防线已经被‘软’化。”OT 与 IT 的融合发展，必须同步提升安全治理。

---

三、数字化、无人化、数智化背景下的安全新挑战

1. 数字化：业务与数据的全面线上化

企业正通过 ERP、CRM、云原生微服务等数字化平台，实现业务的即刻响应与数据驱动决策。数据流动的速度与范围扩大，使得攻击面呈几何倍数增长。

• 数据资产化：个人信息、交易记录、研发文档等均成为高价值目标。
• 云端共享：多租户环境下的资源争夺和误配置（如 S3 桶公开）导致大规模泄露。

对策：实施 数据分类分级，对每一级别的数据采用相应的加密、访问控制和审计策略；采用 CASB（云访问安全代理） 统一监控云端访问。

2. 无人化：机器人流程自动化（RPA）与无人设备的普及

从仓库的 AGV（自动导引车）到客服的聊天机器人，无人系统正取代大量人工操作。

• 接口漏洞：RPA 机器人往往调用内部 API，如果身份验证不严，则成为攻击者的跳板。
• 物理安全缺失：无人机、自动化生产线缺乏物理防护，容易被物理接入攻击。

对策：为每一个机器人、无人设备分配 唯一身份标识（UID） 并采用 机器证书 进行双向 TLS 认证；对无人设备的固件实施 安全链（Secure Firmware Chain）管理。

3. 数智化：AI 与大数据的深度融合

AI 模型（如 LLM）用于业务预测、客户服务、风险评估，模型本身亦成为资产。

• 模型窃取：攻击者通过侧信道或 API 滥用获取模型参数，导致商业机密泄露。
• 对抗样本攻击：利用对抗样本误导模型判断，进而引发业务错误或系统崩溃。

对策：对模型进行 水印（Watermark）与防篡改，使用 差分隐私 训练模型，限制模型推理频率并加入 行为分析 检测异常调用。

4. 融合安全治理的“三层防御模型”

在数字化、无人化、数智化交叉的复杂环境中，单一技术手段难以全覆盖。我们提出 感知‑防御‑恢复 三层防御模型：

层级	目标	核心技术	关键指标
感知层	实时监测所有资产与数据流向	SIEM、UEBA、XDR、IoT 监控	日均告警数、误报率
防御层	阻止攻击横向移动	零信任网络访问（ZTNA）、微分段、MFA、硬件根信任	平均阻断时间、漏洞修补率
恢复层	快速恢复业务、最小化损失	自动化灾备（DRaaS）、可验证备份、业务连续性计划（BCP）	RTO（恢复时间目标）、RPO（恢复点目标）

此模型强调 全链路、全生命周期 的安全治理，适配企业在数字化转型过程中的所有关键节点。

---

四、号召：加入我们的信息安全意识培训，做“安全的第一线”

1. 培训亮点

主题	时长	形式	预期收获
信息安全基础（密码学、加密、身份管理）	1.5h	互动课堂 + 案例研讨	建立安全思维框架
社交工程与防钓鱼（真实案例演练）	2h	案例复盘 + 模拟钓鱼	提升识别与响应能力
零信任与云安全（IAM、CASB、容器安全）	2h	分组实验 + 实操演练	掌握现代防御技术
供应链与第三方安全（审计、合规、合同要点）	1.5h	圆桌讨论 + 合同案例	完善供应链安全治理
无人化、数智化安全（RPA、AI模型防护）	2h	案例讲解 + 演练	适应新技术安全要求
应急响应与灾备演练（CTI、红蓝对抗）	2h	小组演练 + 事后评估	实战化快速响应能力

训练有素的“安全卫士”，不止是技术专家，更是能够在危急时刻做出正确决策的业务合伙人。

2. 参与方式

• 报名渠道：公司内部培训平台（链接已发送至企业邮箱），亦可通过企业微信 “安全学习通” 进行报名。
• 时间安排：本轮培训将于 2026 年 3 月 12 日至 3 月 25 日开启，每周三、五集中开展。
• 考核认证：培训结束后将进行线上考核，合格者颁发 《企业信息安全合格证》，并计入年度绩效的 信息安全积分。

3. 角色定位与责任分配

角色	主要职责	对安全的贡献
普通职员	及时识别钓鱼、遵循密码策略、报告异常	防止“入口”突破
业务部门主管	监督团队执行安全政策、组织内部审计	确保业务链条的安全闭环
IT运维	维护系统补丁、实施零信任	构建技术防线
信息安全官（CISO）	统筹全企业安全治理、制定应急预案	把控全局风险

“安全不是某个人的事，而是全体的使命”。每一位员工都是信息安全的第一道防线，只有全员参与、共同防护，才能真正筑起不可逾越的城墙。

4. 结语：以史为鉴，以技为盾，以人筑墙

从 Adidas 的供应链泄露、Lapsus$ 的社会工程、Scattered Lapsus$ Hunters 的跨团伙联盟 到 ATM 恶意软件的硬件渗透，我们看到的是技术的迭代、攻击手段的升级以及攻击者的组织化趋势。面对 数字化、无人化、数智化 三位一体的全新业务形态，信息安全已不再是点对点的防护，而是一场全链路、全员参与的系统工程。

让我们在即将开启的安全意识培训中，携手 “防、测、控、回” 四步走，打好信息安全的“坚实底层”。只有每个人都具备安全敏感度、能够熟练运用防护手段，才能让企业在风起云涌的数字经济中，保持航向，安全前行。

安全无止境，学习有尽头——愿我们在知识的灯塔指引下，共同守护企业的数字资产与品牌声誉。

---

关键词

昆明亭长朗然科技有限公司关注信息保密教育，在课程中融入实战演练，使员工在真实场景下锻炼应对能力。我们的培训方案设计精巧，确保企业在面临信息泄露风险时有所准备。欢迎有兴趣的客户联系我们。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898