2023年11月25日发(作者：三星e418)

这10起案例，为企业应对来⾃内部的安全威胁敲响了警钟

对众多企业⽽⾔，来⾃外部的⿊客始终是⼀个威胁，但有时候，更为严重的风险来⾃企业内部。根据相关的数据显

⽰，内部威胁平均每年使⼤型企业和组织损失1792万美元，涉及个⼈、企业敏感数据等信息。这些威胁的源头往往

来⾃⼀些员⼯和合作伙伴。通过以下这些案例，⽣动展现了这些威胁所带来的巨⼤危害。

事件⼀

⾏业：医疗保健

公司：某医疗包装公司

事件类型：数据破坏

事件⽇期：2020

公开披露事件：2020

去年，美国联邦检察官判定，该公司⼀位名叫克⾥斯托弗·多宾斯的前员⼯犯有利⽤计算机辅助进⾏的犯罪破坏⾏为，他

在被公司解雇后，以之前拥有的管理权限创建虚假账户访问了公司的运输系统，在新冠疫情爆发的⾼峰期⼲扰和延迟了

了公司对个⼈防护设备（PPE）的正常发货。克⾥斯托弗还创建第⼆个账户编辑或删除了近12万条公司记录，为公司带

来超20万美元的损失。

事件⼆

⾏业：制造

公司：通⽤电⽓公司（GE）

事件类型：知识产权盗窃、欺诈

事件⽇期：2011-2012

公开披露事件：2019

经过长期的调查和繁杂的法庭诉讼，FBI揭露了两位前GE员⼯⽶格尔·塞尔纳斯和让·帕特⾥斯·德利亚公然窃取公司知识

产权和商业机密的⾏为。最初，参与⾼度复杂涡轮机制造的性能⼯程师德利亚通过⾃⾝权限下载了涉及该器械的机密性

⽂件，并说服IT部门某员⼯帮助他获取了成本模型、提案和合同等⽂件。利⽤这些信息，他和塞尔纳斯成⽴了⼀家竞品

⽂件，并说服IT部门某员⼯帮助他获取了成本模型、提案和合同等⽂件。利⽤这些信息，他和塞尔纳斯成⽴了⼀家竞品

公司，不仅在同产品上削弱了GE，也在FBI进⾏调查的同时正常运⾏了多年。

事件三

⾏业：制造

公司：丰⽥

事件类型：商业欺诈邮件

事件⽇期：2011-2012

公开披露事件：2019⼀位从事商业欺诈邮件（BEC）的诈骗者，通过冒充该公司的商业合作伙伴，成功欺骗了欧洲⼦

公司的⼀名财务⼈员，将3700万美元汇⼊了⼀个外国账户。

这些BEC骗局通常会针对⼀些⽬标公司内平时会粗⼼⼤意的⼈员，攻击者会先通过获得公司的⽹络访问权限进⾏深⼊侦

察，观察内部员⼯或员⼯与合作伙伴间的通信模式，以便进⾏模仿并筛选出能够被欺骗的潜在⽬标，并适时发出他们精

⼼准备的邮件陷阱。

事件四

⾏业：电信

公司：AT&T

公司：AT&T

事件类型：

事件⽇期：2012-2017

公开披露事件：2019因贿赂可以进⼊公司系统的公司员⼯，解锁⼤量价格昂贵的iPhone⼿机在AT&T⽹络之外使⽤，美

国电信供应商AT&T公司为此蒙受了长期的巨额损失。罪犯的主要策略是贿赂呼叫中⼼员⼯在AT&T系统上安装恶意软

件，使他们能够按要求⾃动解锁AT&T⼿机。该计划使AT&T损失了价值2亿美元的⽤户，涉及200万部解锁⼿机。巴基

斯坦居民穆罕默德-法赫德（Muhammad Fahd）于2018年因该罪⾏被捕，并在9⽉初被美国地区法院判处12年监禁。

事件五

⾏业：⾦融

公司：第⼀资本

事件类型：1亿个信⽤卡申请和账户被⼊侵

事件⽇期：2019

公开披露事件：2019亚马逊⽹络服务（AWS）的⼀名前软件⼯程师通过在职时掌握的有关客户云部署弱点，利⽤AWS

的客户第⼀资本（Capital One）错误配置的防⽕墙漏洞，获取了特权账户凭证，并窃取和传播了1亿名信⽤卡申请⼈和

账户持有⼈的信息。美国司法部已在今年对这起事件提出了七项计算机欺诈和滥⽤以及访问设备欺诈的指控。

事件六

⾏业：⾦融

公司：纽约某信⽤社

事件类型：恶意删除⽂件

事件⽇期：2021

公开披露事件：2021

纽约⼀家信⽤社在解雇⼀名叫朱莉安娜巴⾥尔的员⼯后，IT部门没有按照规定停⽤其账户。她在40分钟的时间内疯狂删

除了21.3GB的公司数据， 包括2万个⽂件和3500个⽬录，以及公司的抵押贷款申请和反勒索软件。她还访问了⼀些如

董事会记录在内的敏感⽂件。

事件七

⾏业：技术

公司：薇塔芙（Vertafore）公司

事件类型：泄露⽤户敏感信息

事件⽇期：2020公开披露事件：2020保险软件开发商Vertafore的某员⼯在存储数据时，将数据⽂件存储在⼀个不安全

的外部存储服务中，导致2770万德克萨斯州司机的敏感信息被泄露，包括该公司⽤来为其软件创建保险评级功能的数百

万份驾驶执照的信息。这是云存储时代因⼈为原因造成数据泄露的典型案例。Vertafore因此正⾯临集体诉讼。

事件⼋

⾏业：技术

公司：亚马逊

事件类型：通过访问机密信息进⾏内幕交易

事件⽇期：2016-2018

公开披露事件：2020亚马逊税务部门的⾼级经理拉克沙-博拉利⽤她掌握的财务信息，编制季度报表，以帮助她的家⼈

通过内幕交易获利。根据美国检察官办公室的说法，拉克沙-博拉向她的丈夫提供了公司未公开的收⼊和利润信息，他

利⽤这些信息在亚马逊连续11次公布收益之前进⾏⾮法股票和期权交易，使这个家庭在过程中获利140万美元。在今年

夏天签署的认罪协议中，她丈夫被判处26个⽉监禁，并被罚款260多万美元。

事件九

⾏业：零售

公司：加内特爆⽶花

事件类型：盗窃商业机密

事件⽇期：2019

公开披露事件：2019根据2019年提交给美国伊利诺伊州北区地⽅法院的诉讼，芝加哥爆⽶花零售业的代表——加内特

公开披露事件：2019根据2019年提交给美国伊利诺伊州北区地⽅法院的诉讼，芝加哥爆⽶花零售业的代表——加内特

爆⽶花指控前研发总监艾莎-普特南通过将公司数据复制到U盘，并向⾃⼰的个⼈邮箱发送电⼦邮件，从公司窃取了

5000多份⽂件，包括产品的成分、配⽅、公式和⽅法。 普特南则在去年反诉该公司，声称被解雇和最初的诉讼是对她

向上司提出的健康和安全投诉的报复。⽆论真相如何，该事件为访问和处理敏感知识产权的内在风险提供了⼀个典型例

⼦。

事件⼗

⾏业：政府

公司：美国达拉斯市

事件类型：敏感数据被意外删除

事件⽇期：2018-2021

公开披露事件：2021有时，内部⼈员的疏忽对技术基础设施的破坏程度不亚于那些意图报复的恶意⼈员。据《达拉斯晨

报》报道，在⼀次内部审查中，发现⼀名IT⼈员因为删除了超过22TB⼤⼩的警察局⽂件⽽被解雇。据称，⾃2018年以

来，该IT⼈员因为⽆视了相关数据迁移传输的相关规定，致使⼤量⽂件被错误删除。

通过以上案例不难发现，来⾃企业的内部威胁主要有如下⼏类：

1.内部⼈员为获私利获取机密数据

2.涉密离职⼈员的账号或权限未能及时收回

3.因⼯作疏忽导致的数据损失或泄露

这些潜在的数据安全“漏洞”，让企业不得不从多⾓度思考、建⽴数据安全机制，除了建⽴防⽕墙、数据加密存储、完善

账号使⽤制度等提⾼数据防护的“硬指标”，更要防范诸如社会⼯程学等⽅⾯的隐形渗透，做好相关⼈员的思想⼯作，提

账号使⽤制度等提⾼数据防护的“硬指标”，更要防范诸如社会⼯程学等⽅⾯的隐形渗透，做好相关⼈员的思想⼯作，提

⾼安全意识，重点培养相关技术⼈的安全维护技术，为企业的数据隐私负责。⾬笋教育专业为有⽹络安全意识、技术培

养的企业及个⼈开展了线上线下同步的的⽹络安全渗透、等保测评课程。学习以项⽬重现及参与，以⾃⾝参与的实际项

⽬作为案例，在培训中再现亲⾝管理、实施的项⽬，利⽤实际项⽬现场环境带领每个⼈重新经历每⼀个环节及细节，帮

助提升项⽬实践经验，全程模拟演练⽅式实施，能有⾼效的应对企业的各种安全风险问题。