---

前言：一次头脑风暴的“意外收获”

在信息化浪潮滚滚而来的今天，若要让全体员工在“数字城池”中安然行走，仅靠技术部门的防火墙、入侵检测系统和安全审计显然不够。于是，我在一次内部头脑风暴会议上抛出这样一个设问：

> “如果明天早上，你打开浏览器，看到公司内部系统的一个 API 竟然可以在未登录的情况下直接查询员工的个人信息，你会怎么做？”

大家先是一阵沉默，随后笑声随之而起：“这不是段子，哪有这么离谱的事？”
可正是这看似荒诞的想象，恰恰点燃了我们对信息安全全员参与的深刻思考。于是，我把目光投向了近期公开的两起真实安全事件——一桩源自 ServiceNow 的 API 漏洞，另一桩则是传统但仍屡屡复燃的 勒索软件攻击。通过对这两起案例的细致剖析，我们可以看到：安全风险不分部门、不分技术层级，任何一个疏忽都可能导致全链路的失守。

下面，让我们一起进入案例的真实世界，探寻背后的技术细节、组织教训以及对每一位职工的警示。

---

案例一：ServiceNow 未认证 API 端点的“暗门”

1️⃣ 事件概述

2026 年 6 月 5 日，全球领先的企业服务平台 ServiceNow 发布了安全更新（KB3067321），并在随后的安全通告中披露：其某版本的 /api/now/related_list_edit/create 端点在特定配置下可以 无需身份认证 直接访问。该漏洞最早于 2024 年 4 月通过其漏洞赏金计划被安全研究人员报告，随后在 6 月中旬被公开讨论并触发了多家企业的安全警报。

2️⃣ 技术细节拆解

项目	关键要点
漏洞路径	requires_authentication = false 配置错误导致的未授权访问
受影响组件	ServiceNow 脚本化 REST API 表（Scripted REST API）
触发条件	端点 URL 已公开，且请求体满足特定字段格式
利用方式	攻击者（或研究者）仅需构造符合要求的 HTTP POST 请求，即可检索或修改租户（tenant）内部表数据
数据泄露风险	IT 服务请求、员工人事信息、内部安全日志等敏感数据

简言之：在“未登录即能拿到数据”的场景里，攻击者只需要知道 API 路径和参数结构，就能像打开了后门一样，任意读取甚至写入系统内部。

3️⃣ 组织层面的影响

1. 业务连续性受威胁
   ServiceNow 作为 ITSM（IT Service Management）的核心平台，几乎所有内部服务请求、变更记录、资产管理等都依赖于它。若攻击者获取到这些信息，可能进行供应链攻击、伪造工单骗取权限，最终导致业务流程瘫痪。

2. 合规与审计风险
   许多行业（例如金融、医疗）对数据访问审计有严格要求。未授权的 API 调用会在审计日志中留下异常记录，若未及时发现，后续审计报告将面临严重的合规违规指控。

3. 声誉与信任损失
   客户在使用 SaaS 平台时最看重的是“数据不被泄露”。一旦曝光，ServiceNow 以及受影响的租户将面临客户信任度下降，甚至合同终止的风险。

4️⃣ 响应措施与教训

• 技术层面：
  • 立即部署 ServiceNow 官方的安全补丁（KB3067321）。
  • 对所有自定义 Scripted REST API 进行 requires_authentication 参数审计，确保未授权的端点被强制关闭。
  • 开启 API 调用的日志审计，设置异常检测规则（如短时间内同一 IP 的大量未认证调用）。
• 组织层面：
  • 建立 “安全即服务（Security-as-a-Service）” 的内部治理模型，明确 API 生命周期管理责任人。
  • 将 漏洞赏金平台 的报告流程纳入日常安全运维，通过自动化工单将报告转化为修复计划。
  • 强化 供应商安全评估，在采购 SaaS 服务时要求供应商提供“安全更新的交付时间窗口”与“安全漏洞公开透明度”。
• 人员层面：
  • 通过 案例学习，让每位员工了解“一个看似无关的 API 配置错误，可能导致整套系统信息被裸奔”。
  • 组织 模拟攻击演练（Red Team / Blue Team），让大家亲身感受未授权 API 被利用的危害。

---

案例二：某大型制造企业的勒痕病毒“暗潮汹涌”

1️⃣ 事件概述

2025 年 11 月，国内一家拥有超过 5,000 名员工的制造业巨头在例行的系统升级后，突遭 勒索软件 攻击。黑客利用的是企业内部一台未打上安全补丁的 Windows 服务器，借助 SMB（Server Message Block） 协议的永恒漏洞（EternalBlue）横向移动，最终在 48 小时内加密了约 30% 的业务关键文件，导致生产线停摆、订单延迟，损失高达数亿元人民币。

2️⃣ 技术细节拆解

项目	关键要点
入侵入口	未及时更新的 Windows Server 2012 R2，EternalBlue 公开漏洞（CVE‑2017‑0144）
横向移动	利用 Pass-the-Hash 技术，窃取域管理员凭证，进一步渗透至文件服务器
加密方式	使用 AES‑256 + RSA‑2048 双层加密，锁定文件后勒索比特币
恢复难度	未持有完整离线备份，且备份系统本身亦被加密
影响范围	生产计划系统、ERP 数据库、研发文档、财务报表等关键业务系统

3️⃣ 组织层面的影响

1. 业务中断的连锁反应
   生产线停摆导致供应链上游原材料堆积、下游订单违约，进一步引发信用危机和客户流失。

2. 合规风险
   多项行业标准（如 ISO 27001、GB/T 22239）要求企业具备 可恢复的业务连续性计划（BCP）。此次事件的备份缺失直接导致审计不合格。

3. 人力资源冲击
   事故响应期间，IT 安全部门加班至深夜，导致员工身心疲惫，工作效率大幅下降。

4️⃣ 响应措施与教训

• 技术层面
  • 立即对所有 Windows 服务器进行 补丁管理，尤其是对已公开的 SMB 漏洞进行“禁用 SMBv1、SMBv2”。
  • 部署 端点检测与响应（EDR） 系统，对异常进程和横向移动行为进行实时拦截。
  • 实施 多因素身份验证（MFA），尤其是对管理员账号，防止凭证被窃取后直接登录。
• 组织层面
  • 建立 分层备份体系：本地快照、离线冷备份、云端异地备份，确保在灾难时能够快速恢复。
  • 完善 应急响应预案，明确各部门在勒索攻击中的职责分工（如法务负责通知、沟通；HR 负责员工心理辅导等）。
  • 通过 安全文化渗透，将“每天一次的安全检查”写进 SOP，将安全意识内化为每个人的日常行为。
• 人员层面
  • 开展 钓鱼邮件演练，让员工亲身感受到邮件诱导的危害。
  • 在全员培训中加入 “勒索软件的心理游戏” 章节，帮助员工辨别压力式的社交工程手段。
  • 设立 安全之星奖励计划，对主动上报安全隐患、提出改进建议的员工给予荣誉与奖金。

---

信息化、智能化、数智化时代的安全新挑战

1️⃣ “智能体”与“信息化”深度融合的双刃剑

随着 AI 大模型、自动化运维（AIOps）、数字孪生 等技术的广泛落地，企业的业务边界正被 “智能体”（Intelligent Agents） 所渗透。智能体可以在几毫秒内完成 日志分析、异常检测、自动化响应，显著提升运营效率。然而，它们同样会成为 攻击者的利器：

• 模型投毒（Model Poisoning）：攻击者可通过伪造训练数据，使安全模型误判恶意流量为“正常”。
• API 滥用：正如 ServiceNow 案例所示，智能体在调用内部 API 时，如果缺乏严格的身份校验，便会被恶意脚本利用。
• 自动化渗透：利用 AI 编写的脚本可以快速识别网络拓扑、暴力破解凭证，形成 “自助攻击链”。

2️⃣ “数智化”背景下的复合风险

在 “数智化”（即数据驱动的智能决策）环境中，企业的关键资产已从 文件、数据库 扩展到 实时数据流、模型权重、训练日志。这些资产的 完整性、保密性、可用性 同样需要受到保护：

• 数据泄露：未经授权的 API 调用可以直接导出模型训练数据，进而泄露商业机密。
• 模型窃取：黑客通过 API 批量请求模型输出，进行 模型反演，复制高价值的 AI 模型。
• 误用风险：内部员工若误将敏感模型部署到公开的云环境，亦可能导致 信息外泄。

3️⃣ 全员参与的安全治理新范式

面对 “技术即兵器、技术亦防线” 的双重局面，信息安全不再是少数人的专属任务，而是全员的共同责任。以下三点是我们在即将启动的 信息安全意识培训 中的核心理念：

1. 安全思维常态化
   • 把 “每一次登录、每一次 API 调用” 看作一次安全审计的机会。
   • 培养 “最小特权（Least Privilege）” 的使用习惯，拒绝 “管理员万能钥匙” 的错误思维。
2. 技术与行为双轨并进
   • 通过 情景式演练（如模拟 ServiceNow 未授权 API 调用、勒索软件横向渗透），让技术防护措施在真实情境中得到验证。
   • 引入 行为心理学，帮助员工识别社交工程的心理诱因，形成 “技术+人” 的防护闭环。
3. 持续学习、迭代改进
   • 设立 每月安全小课堂，发布最新漏洞情报（如 CVE‑2026‑XXXXX），并提供 实操手册。
   • 建立 安全知识库，鼓励员工在内部社区分享安全经验，形成 集体智慧。

---

培训计划概览

时间	主题	形式	目标
第1周	信息安全基础 & 常见攻击手法	线上直播 + 互动问答	让全体员工了解网络钓鱼、恶意软件、未授权 API 的危害
第2周	SaaS 平台安全管理实战	案例研讨（ServiceNow 漏洞）+ 实操演练	掌握 SaaS 环境的安全配置、日志审计、补丁管理
第3周	勒索防护与业务连续性	工作坊 + 恢复演练	学会构建备份策略、应急响应流程、快速恢复
第4周	AI 与智能体安全	圆桌论坛 + 技术实验室	理解 AI 生成内容的安全风险，学习模型防泄漏技术
第5周	综合演练 & 评估	红蓝对抗演练 + 现场问答	检验全员安全能力，形成改进反馈

参与方式：所有职工均须在公司内部学习平台完成注册，完成每期培训后将获得对应的 安全徽章，累计徽章可兑换公司福利（如额外假期、培训专项基金）。

---

结语：让安全成为企业竞争的新优势

史书记载，“防微杜渐，方能成河”。在信息化、智能化、数智化交织的时代，每一次细小的安全疏漏，都可能酿成不可逆转的灾难。但只要我们把“安全意识”植入每位员工的日常工作中，让技术与行为同频共振，就能把“潜在威胁”化作“创新动力”。

让我们以案例为镜，以培训为桥，以全员参与为剑，共同守护企业数字城池的每一块砖瓦。

安全不是某个人的任务，而是我们每个人的使命。

勇敢迈出第一步，从今天的培训开始，向安全迈进！

安全之星 2026

信息安全意识培训专员

董志军

昆明亭长朗然科技有限公司提供全球化视野下的合规教育解决方案，帮助企业应对跨国运营中遇到的各类法律挑战。我们深谙不同市场的特殊需求，并提供个性化服务以满足这些需求。有相关兴趣或问题的客户，请联系我们。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

“信息安全不是一张纸，而是一根绳——只有全员拉紧，才能防止坠落。”
——《孙子兵法·计篇》

在数字化、自动化、具身智能化快速融合的今天，企业的业务边界早已不再局限于办公室的四面墙，而是扩展到云端、边缘、甚至每一台智能终端。与此同时，攻击者也在不断升级作战方式，将“工业化”思维搬到了网络空间：批量注册恶意域名、快速部署钓鱼站点、利用云服务进行隐藏。为此，信息安全意识培训不再是“选修课”，而是每位职工的“必修课”。

下面，我将用四个典型的真实案例——来自 Help Net Security 最新研究的“恶意域名装配线”以及相关攻击手法——进行头脑风暴式的拆解，帮助大家直观感受攻击者的“生产线”是如何运作的，从而在日常工作中提升警觉性、培养安全思维。

---

案例一：“秒注册、秒上线”的恶意域名装配线

背景

2026 年 1 月至 5 月期间，研究人员在 VirusTotal 上捕获到超过 150 万 个被标记的恶意域名。每一个域名在注册后仅 两个月（中位数）就被检测到，甚至有 30% 在注册后 7 天 内即被激活用于钓鱼、恶意软件分发等攻击。

攻击者的作战流程

1. 批量生成：利用自动化脚本，按字母、数字或混合模式生成上千甚至上万的随机域名。
2. 同日批量注册：在同一家低价注册商（如 .top、.xyz）一次性提交 2,000+ 域名的注册请求。
3. 快速指向 CDN：将这些域名解析到 Cloudflare、AWS 等大型 CDN 的任意节点，隐藏真实源站。
4. 投放恶意内容：通过脚本自动在这些域名上部署钓鱼页面或下载链接，配合邮件、社交媒体进行传播。

影响与教训

• 检测窗口极短：安全团队往往在域名激活后才发现，时间差导致防护失效。
• 规模化隐藏：即使单个域名流量微小，但整个“装配线”每天产生的请求量可达 数十亿次，对 DNS 基础设施造成压力。
• 防御盲点：多数企业只关注已知恶意 IP/URL，却忽视了新注册的、尚未被安全厂商纳入黑名单的域名。

应对建议：在企业的 DNS 防火墙或安全网关中加入 域名注册时间、注册商信誉 等属性的实时评分，对新注册且异常的域名进行预警或临时拦截。

---

案例二：品牌冒名顶替的“鱼叉式”钓鱼

背景

在同一批恶意域名中，约 20,000 个包含了知名品牌名称，尤其是 WhatsApp，其次是 Google、Coinbase、Bet365。这些域名往往采用 “brand‑login‑xxx.com” 或 “brand‑secure‑yyy.top” 的形式，诱导用户误以为是真正的品牌入口。

攻击链条

1. 品牌关键词采集：通过公开的品牌列表或社交媒体热点，自动抓取热门品牌的名称。
2. 域名拼接：将品牌关键词与常见登录、验证等词汇进行组合，生成大量可能的钓鱼域名。
3. 邮件/短信投放：利用已泄露的邮件列表或短信号池，发送带有伪造品牌标志的钓鱼邮件/短信。
4. 凭证收集：用户在仿冒页面输入账号密码后，凭证被直接转发至攻击者的控制服务器。

影响与教训

• 高可信度：用户看到熟悉的品牌标志、相似的域名后容易放松防备。
• 跨平台传播：同一域名可同时用于邮件钓鱼、社交媒体诱导、甚至恶意广告。
• 品牌声誉受损：受害企业需对外发布大量安全警示，影响用户信任度。

应对建议：在企业内部开展 品牌保护意识 培训，教会员工辨别 URL 拼写差异（如“goog1e.com” vs “google.com”），并使用 密码管理器 自动填充，从根本上避免手动输入凭证。

---

案例三：云服务滥用的“隐形护盾”

背景

研究显示，恶意域名背后的 IP 地址 主要集中在 Cloudflare（8/10）和 AWS（2/10）等大型云服务提供商。在这类服务的 共享 IP 或 反向代理 后面，数十万甚至上百万的恶意站点共同使用同一 IP，导致传统基于 IP 的黑名单失效。

攻击者的策略

1. 利用公共 CDN：将恶意站点解析到 Cloudflare 的任意节点，使流量看似来自合法 CDNs。
2. 快速切换源站：在被发现后，仅更换 DNS 指向的源站 IP，即可在同一 CDN 上重新上线。
3. 隐藏真实位置：借助 CDN 的缓存机制，攻击者的真实服务器（可能在低成本 VPS）难以直接追踪。

影响与教训

• 传统阻断失效：即使在防火墙中封禁了某个 IP，也可能因 CDN 的弹性扩容而自动恢复。
• 跨地域传播：CDN 节点遍布全球，攻击流量可以从最近的节点发出，降低延迟，提升成功率。
• 服务误伤风险：对 Cloudflare、AWS 的大规模封禁会波及大量正常业务，导致业务中断。

应对建议：在企业的 Web Application Firewall (WAF)、DNS 安全网关 中加入 域名信誉评分 与 行为分析（如访问频率、页面内容特征），而非仅依赖 IP 阻断；同时，建立 与云服务商的快速通报渠道，实现被恶意域名托管的快速下线。

---

案例四：“黑客即服务”平台的自动化租赁

背景

随着攻击工具的商业化，恶意域名装配线已经不再是单一黑客团队的专利。攻击即服务（BaaS）平台提供 “一键式租赁恶意域名、僵尸网络、钓鱼页面」的完整套餐，用户只需支付少量费用，即可获得 “即买即用” 的攻击工具箱。

攻击链条

1. 注册即投产：用户在平台上选购 “10,000 域名批量注册套餐”，系统自动完成域名生成、注册、解析。
2. 模板化钓鱼：平台提供多语言、移动端适配的钓鱼页面模板，用户可自行修改品牌信息后直接部署。
3. 流量分发：平台自带 广告投放网络，将钓鱼链接通过低价广告或恶意 App 推送至目标用户。
4. 收割与转售：成功获取凭证后，平台提供 “一次性转卖” 或 “租赁回收” 两种盈利方式。

影响与教训

• 低门槛：即便是技术能力一般的犯罪分子，也能快速完成规模化攻击。
• 攻击链可追踪性降低：平台提供的 “中转” 服务，使得执法部门难以直接关联最终实施者。
• 攻击速度加快：从购买到投产只需数分钟，防御方几乎没有预警时间。

应对建议：提升 供应链安全意识，防止企业内部使用未知第三方工具；同时，企业的 威胁情报平台 应实时抓取 BaaS 平台的最新信息，形成 动态防御规则。

---

从案例到行动：在数智化时代打造全员安全防线

1. 认识数字化、自动化、具身智能化的安全新形态

• 数字化：业务、数据与流程的云端迁移，使资产分布更广，对 数据泄露、未经授权的访问 提升了风险。
• 自动化：CI/CD、IaC（基础设施即代码）让系统快速迭代，同时也为 攻击自动化 提供了便利，例如利用 代码注入 在部署管道中植入恶意组件。
• 具身智能化（Embodied AI）：智能终端、机器人、AR/VR 设备日益进入企业生产线，意味着 物理世界的攻击面 与 网络空间 融为一体，如 摄像头被劫持、工业机器人被植入恶意指令。

在这三大趋势交织的环境下，安全边界从 “网络边界” 迁移到 “数据流动路径”，传统的“防火墙 + AV”已难以满足需求，“人—机—环境” 的协同防御成为唯一可行之路。

2. 为什么全员安全意识是根本

“千里之堤，溃于细流。”

即便拥有再先进的安全技术，如果员工在日常操作中漏掉一个密码泄露、一次不慎点开钓鱼邮件，整条防线依旧可能被突破。信息安全是一场 “全员演练”，每个人都是 “第一道防线”。

• 认知层面：了解最新攻击手法（如案例中的恶意域名装配线）能帮助员工在遭遇可疑链接时进行 快速判断。
• 行为层面：养成 强密码、双因素、定期更新 的好习惯，杜绝 密码复用、明文存储。
• 技术层面：掌握 安全工具的正确使用（如公司 VPN、端点防护、浏览器安全插件），提升 自我防护 能力。

因此，信息安全意识培训 不应是“一次性讲座”，而是 持续、结构化、场景化 的学习过程。

3. 即将开启的安全意识培训——全方位、沉浸式、可落地

3.1 培训目标

目标	具体描述
认知提升	了解恶意域名装配线、品牌钓鱼、云滥用、BaaS 等最新攻击趋势。
技能赋能	学会使用 密码管理器、MFA、安全浏览器插件；掌握 可疑邮件/链接的快速辨识。
行为改变	通过案例讨论、实战演练，养成 “不点击、不输入、不分享” 的安全习惯。
协同防御	了解 安全团队与普通员工 的信息共享机制，形成 “发现—报告—响应” 的闭环。

3.2 培训形式

1. 线上微课 + 实时直播：每期 15 分钟微课，涵盖最新威胁情报，直播中设有互动答疑。
2. 情景演练：模拟钓鱼邮件、恶意域名访问等场景，学员现场判断并提交报告。
3. 红蓝对抗赛：内部红队演示攻击流程，蓝队（包括全体职工）实时响应并给出改进方案。
4. 游戏化学习：通过 安全积分榜、徽章系统 激励学习，积分可换取公司内部福利。

3.3 培训时间安排

周期	内容	备注
第1周	恶意域名装配线全景解析	案例深度剖析
第2周	品牌钓鱼识别技巧	实战演练
第3周	云服务与CDN滥用防护	技术工具使用
第4周	BaaS平台与自动化攻击	红蓝对抗
第5周	综合复盘 & 证书颁发	表彰优秀学员

3.4 参与方式

• 报名渠道：通过公司内部安全门户（链接：安全大本营），填写个人信息即完成报名。
• 学习资源：所有微课、演练材料将统一放置于 知识库，供随时回顾。
• 考核与认证：完成全部课程并通过 线上考试（80 分以上），可获 《信息安全合格证》，并计入年度 绩效加分。

4. 让安全成为企业文化的底色

1. 领袖示范：公司高层、部门经理在培训中率先发声，分享自身的安全实践经历。
2. 安全日报：每日推送简短的 “今日安全要点”，包括最新威胁、常见误区、快速防护技巧。
3. 奖励机制：对 “首次报告”、“最佳防护案例” 的员工给予 现金或福利奖励，形成正向激励。
4. 跨部门协作：安全团队与 IT、HR、法务等部门共同制定 “安全工作流”，确保安全要求落地。

“千军易得，一将难求。” 让每一位员工都成为 “安全将领”，则企业的安全城池才能稳固。

---

5. 结语：从“装配线”到“防护线”——共筑安全未来

在 数字化、自动化、具身智能化 的浪潮中，我们看到攻击者已经把 “工业化生产” 的思维搬到了网络空间——从批量生成、批量注册到快速上线，形成了 “恶意域名装配线”。然而，正是因为这种集中化、规模化的作业方式，才为我们提供了 “瓶颈压迫” 的突破口——只要在 注册商、TLD、CDN、品牌关键词 这几条关键链路上设下 “卡点”，即可在源头上削弱攻击者的产能。

全员信息安全意识培训 正是我们在这条防护链上加入 “人因防线” 的关键一步。通过案例学习、实战演练、持续激励，帮助每一位同事从 “被动防御” 转向 “主动防护”，让安全意识渗透到日常工作、沟通协作的每一个细节。

让我们一起 “扬帆数智”，把安全的灯塔点亮在每一位职工的心中，在数字化转型的高速路上，稳步前行、无惧风浪。

“安全无止境，学习无止境。” —— 让知识的火炬在每一位员工手中燃起，照亮企业的每一个角落。

欢迎大家踊跃报名，参加即将开启的安全意识培训，让我们共同打造更安全、更可信的工作环境！

昆明亭长朗然科技有限公司的信息安全管理课程专为不同行业量身定制，旨在提高员工对数据保护重要性的认知。欢迎各界企业通过我们，加强团队成员的信息安全意识。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898