Ⅰ、头脑风暴:两个典型安全事件,警醒每一位职工
在信息化、数智化、无人化深度融合的今天,企业的每一次技术升级、每一次系统迭代,都是一次“开锅”。若锅里放的不是食材,而是潜伏的恶意代码,后果将不堪设想。下面,让我们穿越时空,先后捕捉两起具有深刻教育意义的安全事件,它们如同两枚警示弹,提醒我们必须把安全意识摆在第一位。

案例一:《The Gentlemen》勒索病毒——身份与恢复控制的双重拷问
2025 年底至 2026 年初,全球安全社区频繁捕获到一款名为 Gentlemen(绅士)的勒索软件。它并非传统意义上的“一锤子买卖”,而是一套完整的 Ransomware‑as‑a‑Service(RaaS)平台,由一支隐蔽的黑客组织以 Go 语言编写、使用 Garble 混淆技术实现。更令人胆寒的是,它在横向移动和恢复系统破坏两方面下足了功夫。
-
横向扩散:Gentlemen 通过枚举网络内的可达主机,将自身二进制文件放置到 SMB 共享目录,然后最多对每台目标机器发起 21 次远程执行尝试。攻击手段包括 PsExec、WMIC、计划任务、Windows Service、PowerShell 远程、WMI 进程创建等“老兵”工具的组合,形成冗余路径,确保至少有一种方式能够成功渗透。
-
破坏恢复:在真正开始加密前,恶意程序会尝试关闭 Microsoft Defender、删除卷影备份(Shadow Copies),并且停用与数据库、备份、端点防护、虚拟化平台相关的关键服务。它甚至配备了“EDR‑killer”组件,利用漏洞驱动直接干扰安全软件的运行。
-
加密方式:采用 Curve25519 与 XChaCha20 的混合加密,对每个文件生成唯一密钥,文件后缀常见为
.umc16h(不同攻击者亦会更换后缀),进一步增加解密难度。 -
双重敲诈:在加密完成后,攻击者不满足于单纯索要赎金,还会公开威胁泄露已窃取的数据,形成“双重敲诈”。
从技术层面看,Gentlemen 并不倚重零日漏洞,而是深度利用企业内部的合法管理工具和过度授权的身份。正如 IDC 研究员 Sakshi Grover 所言:“攻击者越来越倾向于借用受信任的管理员工具、被窃取的身份以及过度的特权,而不是依赖高端恶意代码”。这给我们敲响了 “身份治理”和“最小特权” 的警钟。
案例二、假冒技术支持电话——社交工程的致命一击
紧随 Gentlemen 的步伐,2026 年 7 月,安全媒体《CyberNewsWire》发布了一则提醒:“Watch out for fake support calls in Microsoft Teams”。黑客不再满足于远程漏洞利用,他们转而 “假冒技术支持”,直接拨打受害者的电话,声称其 Microsoft Teams 账户异常,需要通过远程协助的方式“修复”。在通话中,攻击者会诱导受害者打开 Teams 共享屏幕功能,甚至让其在本地机器上安装恶意的远程控制插件。
这类社交工程攻击的危害在于:
- 低成本高回报:只需要几分钟的通话,就能获取受害者的凭据或植入后门。
- 突破技术防线:即使企业部署了严密的防火墙、入侵检测系统,只要用户主动配合,攻击者即可获取内部权限。
- 连锁反应:一旦攻击者拿到具有管理员权限的账户,便可以利用上述 Gentlemen 等勒索工具进行大规模横向渗透。
该案例提醒我们:技术防御的每一道墙,都可能被一声“您好,我是微软技术支持”轻易拆除。因此,提升全员的 社交工程防御意识,已经成为今日信息安全培训不可或缺的核心。
Ⅱ、深度剖析:从事件到根因的全链路思考
| 关键要素 | Gentlemen 勒索 | 假冒技术支持 |
|---|---|---|
| 攻击入口 | 初始钓鱼/漏洞利用后获得凭据 | 电话/邮件诱导打开远程协助 |
| 主要手段 | 合法管理工具滥用、特权扩散、恢复系统破坏 | 社交工程、伪装技术支持、诱导安装恶意插件 |
| 目标 | 数据加密、双重敲诈、系统瘫痪 | 凭据窃取、内部后门、后续横向渗透 |
| 防御盲点 | 过度授权、备份同网、未隔离关键服务 | 缺乏电话/邮件安全意识、缺少验证机制 |
| 成功关键 | “身份 + 可信工具”的组合 | “信任 + 主动配合”的心理诱导 |
1. 身份是最薄弱的链环
Gentlemen 的成功在于 “抢占了管理员身份”,而假冒技术支持的成功则在于 “骗取了用户的信任”。无论是技术还是社交层面,身份治理的失效都是攻击者的高速通道。这正对应了《论语》中的名言:“君子欲讷于言而敏于行”,只有在身份上保持“讷”,才能在行动上保持“敏”。
2. 过度特权是横向移动的燃料
从 PsExec 到 WMI,再到 PowerShell Remoting,攻击者利用了 “最小特权原则的缺失”,在企业内部燃起了“火种”。正如《孙子兵法》所言:“兵贵神速”,但若兵力本身就是掠夺来的,那么神速便成了破坏的加速器。
3. 备份与恢复的假象
很多组织误以为 “有备份就等于有安全”,但正如案例所示,备份若与 AD 认证、同一网络、同一存储介质耦合,则在攻击者取得管理员权限后,备份同样会被删除或加密。正所谓:“屋漏而不补,终究要塌”。
4. 社交工程的“软实力”
假冒技术支持的攻击手法提醒我们:技术防线再坚固,若“软实力”(人)的防护缺位,一切都将付之东流。因此,安全并非单纯的技术堆砌,更是一场 “人‑机协同” 的全员演练。
Ⅲ、数智化、信息化、无人化时代的安全新挑战
1. 数智化(Digital + Intelligence)——数据即资产,智能即利器

在 大数据分析、机器学习模型 渗透业务的今天,模型训练数据、AI 推理接口 成为新的攻击面。攻击者可以通过 对抗样本 或 模型窃取 手段,获取企业核心业务的洞见,甚至直接在系统内部植入后门。对策是 模型安全评估、 数据隔离 与 访问审计。
2. 信息化(Informationization)——云端、容器、微服务的繁荣
企业正从传统的机房迁移到 公有云、混合云,使用 Kubernetes、Docker 等容器编排平台。容器镜像的 Supply Chain 攻击(如恶意二进制植入、篡改依赖库)已屡见不鲜。应对策略包括 可信构建(SBOM)、 镜像签名、 最小化容器 以及 统一的身份中心(IAM)管理。
3. 无人化(Automation)——机器人流程自动化(RPA)与无人值守系统
随着 机器人流程自动化、无人仓库、无人驾驶 技术的推广,系统的 自我决策与执行 能力大幅提升。然而,一旦攻击者获取了 RPA 脚本或无人系统的控制接口,便可在不触发传统警报的情况下,持续发动内部渗透。此时,异常行为检测 与 安全编排(SOAR) 变得尤为关键。
Ⅳ、为何我们要立刻行动:信息安全意识培训的必要性
- “先知先觉”,防患于未然
- 通过 模拟钓鱼演练、红蓝对抗,让每位员工亲身感受攻击的真实场景。正如《易经》所言:“潜龙勿用”,只有在潜在风险显现之前做好准备,才能在危机来临时不慌不忙。
- “知行合一”,把安全落到实处
- 培训内容包括 MFA(多因素认证)、最小特权、安全备份隔离、安全终端硬化、云资源访问策略 等实操技术。通过 实验室演练,让学员在“攻防对抗”中掌握 主动防御 的思维方式。
- “以人为本”,构建安全文化
- 安全不只是技术问题,更是组织文化的沉淀。我们将借助 情景剧、漫画、互动答题 等轻松方式,使安全理念在日常工作中自然而然地渗透。正如《诗经·国风·周南》所云:“投我以木桃,报之以琼瑶”,只有安全投入得到正向回报,才能形成良性循环。
- “持续学习”,保持对抗的弹性
- 信息安全是一个 赛跑,而非一次性的考试。培训结束后,我们将提供 线上学习平台、月度安全简报、安全知识库,让每位同事在工作之余仍能保持对新威胁的敏感度。
Ⅴ、培训计划概览(即将开启)
| 时间 | 主题 | 形式 | 关键收获 |
|---|---|---|---|
| 第一天(上午) | 身份与特权治理 | 讲座 + 案例研讨 | 掌握最小特权、零信任模型 |
| 第一天(下午) | 备份与恢复实战 | 实验室演练 | 验证备份可在攻击期间可靠恢复 |
| 第二天(上午) | 社交工程防御 | 角色扮演 + 案例复盘 | 识别假冒技术支持、钓鱼邮件 |
| 第二天(下午) | 云原生安全 | 演示 + 实践 | 使用 CSPM、容器安全扫描 |
| 第三天(全天) | 红蓝对抗演练 | 实战模拟 | 从攻击者视角审视防御短板 |
| 结业仪式 | 安全文化建设 | 互动游戏 + 颁奖 | 建立全员安全共识 |
所有课程均采用 线上+线下混合 的方式,保证远程办公 与 现场参与 员工均能同步学习。每位参训者将在培训结束后获得 《信息安全意识手册》 与 电子证书,并可在公司内部 安全积分体系 中兑换相应的奖励。
Ⅵ、号召全员参与:让安全成为我们共同的“第二天性”
同事们,信息安全不是 IT 部门的专属责任,它是 每个人的日常习惯。正如孔子所言:“己所不欲,勿施于人”,如果我们不想自己的数据被锁定、账户被冒用,就必须先从自身做起,主动学习、主动防范。
在数智化浪潮中,技术的每一次升级,都可能带来一次新攻击向量。但只要我们 把安全意识内化为工作方式,把 演练、复盘、学习 当作常规工作的一部分,“绅士”勒索、假冒技术支持等恶意行为就会在我们面前失去锋芒,变成“纸老虎”。
请大家积极报名即将启动的信息安全意识培训,让我们用知识点燃安全的火把,用行动浇灌防御的绿洲。让安全不再是“事后补救”,而是 “先行防御、持续演进” 的企业基因。
“防患未然,方得长安”。
让我们在数字化的航程中,携手守护企业的每一寸数据、每一个系统、每一位同事的安全与信任。

我们相信,信息安全不仅是技术问题,更涉及到企业文化和员工意识。昆明亭长朗然科技有限公司通过定制化的培训活动来提高员工保密意识,帮助建立健全的安全管理体系。对于这一领域感兴趣的客户,我们随时欢迎您的询问。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898


