上周针对医疗科技巨头Stryker的网络攻击事件引发行业震动。据安全专家透露,攻击者利用微软Intune平台远程擦除了数千台企业设备。该攻击由黑客组织Handala宣称负责,他们声称擦除了超过20万台服务器、移动设备及系统,迫使Stryker在全球79个国家关闭办公场所。攻击者还声称从公司基础设施中窃取了约50TB数据。
然而,Stryker官方回应称,调查人员未发现任何数据被窃取的证据,并强调此次事件并非勒索软件攻击,攻击者也未在其系统中部署恶意软件。这一表态与攻击者的说法形成鲜明对比,凸显了网络攻击中信息不对称的复杂性。
安全分析显示,此次攻击的关键在于攻击者获取了Intune的管理员权限。Halcyon的研究人员发现,攻击者通过Base64编码的指令触发了所有关联设备的远程擦除。Intune本身并未被攻破,而是攻击者利用其内置功能进行破坏。这通常需要获取**别权限,如Intune管理员或全局管理员账户,表明攻击链中极可能发生了凭证窃取或权限提升。
目前,Stryker正与外部法医专家合作,美国网络安全与基础设施安全局(CISA)也协助调查。此次事件为所有使用Intune或类似终端管理工具的企业敲响了警钟:强大的管理工具若权限失控,可能成为巨大的安全隐患。
安全专家建议,企业应强制对所有管理员账户实施严格的多因素认证(MFA),并建立破坏性操作(如远程擦除)的双重审批机制,防止单一账户被劫持导致大规模数据丢失。同时,需实时监控管理员活动并审计命令使用情况,确保企业工具不被武器化。
对于中国科技及医疗行业从业者而言,Stryker事件提供了重要启示:在数字化转型加速的背景下,企业应重新审视终端管理策略,将管理员权限的精细化管控和多层防御机制纳入核心安全体系,以应对日益复杂的网络威胁。