想想当你服务器崩溃时，你会打电话给谁。这个人会查看你的日志，知道备份文件在哪里，还能让系统恢复运行。现在想象一下，这个人偷偷在你的环境中植入后门，并将访问权限卖给了勒索软件团伙。这就是本周的头条新闻：美国检察官指控多名网络安全专家与ALPHV（又名BlackCat）勒索软件团伙合作。这并非假设，而是对“专业知识等同于信任”这一观念的直接打击。

过去，内部威胁通常指的是粗心的用户或疏忽的管理员。但这种定义已经过时了。如今，内部人员可能训练有素，精通清除痕迹和监控机制。他们可以利用更新服务器、特权账户或供应商关系来扩大攻击规模。对于小型和大型企业而言，这意味着需要转变对访问权限的思考方式。限制权限、记录所有操作、轮换凭证，并使用可靠的 VPN 保护全球通信。做好这些基本措施，就能有效阻断内部人员的许多攻击途径。

当负责维修你系统的人知道如何破坏系统时，信任就成了你最宝贵的财富。

为什么这比普通的内部风险更糟糕

技术娴熟的内部人员拥有两大不公平优势。首先是访问权限。他们通常拥有有效的凭证和管理员令牌，可以让他们横向移动而不触发常规警报。其次是知识储备。他们知道应该编辑哪些日志、应该擦除哪些备份，以及团队忽略了哪些控制措施。将这些优势与现代勒索软件即服务 (RaaS) 模式相结合，就能快速、悄无声息地造成巨大影响。最近的起诉案例清楚地表明，专业知识可以被武器化。

在法律诉讼案展开的同时，安全团队也发现了一个技术漏洞。研究人员和供应商报告称，有人正在积极利用并大规模扫描一个严重的 Windows Server Update Services (WSUS) 漏洞 CVE-2025-59287。WSUS 服务器旨在帮助用户推送补丁。如果攻击者控制了更新服务，他们就可以一次性向多台计算机推送恶意代码。这使得补丁基础设施成为极具吸引力的攻击目标。

被攻破的更新服务器比存在漏洞的终端更危险。它能将防御者的工具变成攻击者的攻击手段。

这些趋势如何结合起来构成真正的风险

想象一下，如果内部人员能够访问您的 WSUS 服务器或拥有供应商控制台的密钥，他们就可以创建一个维护窗口，禁用警报，然后让漏洞利用程序运行。或者，他们可以将访问权限出售给已经部署了漏洞利用代码的关联公司。最近针对 WSUS 的扫描和概念验证漏洞利用表明，攻击者正在积极寻找这些漏洞。这就是人为风险和技术风险的融合：拥有特权的人员加上一个正在运行的漏洞利用程序，就意味着一次快速且影响巨大的安全漏洞攻击。

问题的规模不容小觑。独立追踪机构估计，到2025年，全球网络犯罪造成的损失将达到约10.5万亿美元。这个数字足以改变企业董事会的决策。风险如今已成为企业和国家安全领域的议题，而不再仅仅是IT领域的问题。各大机构、政府以及监管机构都在密切关注。

领导者现在应该关注什么

取得真正的进步并不需要完美的技术，而是需要有针对性的管控措施，这些措施要考虑到人为失误和系统故障的可能性。

•加强特权访问控制。采用最小权限原则、会话代理和即时权限提升。定期撤销和审核凭证。

•隔离更新基础架构。将 WSUS 和类似服务部署在具有严格出入规则的分段网络中。如果必须运行 WSUS，请密切监控其同步和文件活动。如果供应商发布了带外补丁，请快速应用并验证。

•要求对特权操作进行会话录制，并保留不可更改的日志。如果无法证明事件经过，则遏制和响应所需的时间更长，成本更高。

•像审查员工一样审查第三方，承包商和顾问通常拥有广泛的访问权限。背景调查、合同规定的权限限制和会话审计可以降低供应商风险。

 •制定以证据为先的事件响应计划。尽早捕获取证镜像并保存日志。法律、公关和安全部门需要一套熟练的违规通知和遏制流程。

监管正在形成闭环

监管机构并未袖手旁观。在有报道称一些公司账户管理混乱、凭证被盗后，立法者已要求相关机构对运营大规模监控或关键数据服务的公司展开调查。当供应商大规模处理个人数据且管控薄弱时，其后果将涉及法律和公共利益。预计未来将面临更严格的审查、强制性信息披露，以及要求其出示安全认证或审计结果的压力。

这意味着供应商安全将成为未来采购过程中的一个重要考量因素。应要求供应商提供安全运营中心 (SOC) 报告、红队演练结果以及强有力的多因素认证措施证明。如果供应商无法提供合理的安全保障证据，则应重新考虑与其的合作关系。

最后的话

内部风险并非新鲜事。真正的新变化在于其组合方式：拥有深厚系统知识的高技能人员、自动化攻击工具以及全球范围内的访问权限。解决之道并非单一产品，而是一套合理的控制措施、诚信的企业文化以及轮换、记录和限制权限的严格执行。将你的安全卫士视为宝贵但易犯错的资产。核实他们的权限，并密切关注他们的行为。仅此一项就能显著降低本周此类新闻事件发生的概率。

信息来源：51CTO https://www.51cto.com/article/830193.html