当地时间 3 月 19 日,美国网络安全和基础设施安全局(CISA)发布紧急安全警示,要求全美企业立即加固员工设备管理系统的安全防护,尤其针对微软 Intune 这类终端管理平台强化权限管控。此番警示源于亲伊朗黑客组织攻陷全球医疗科技巨头 Stryker,通过滥用其设备管理系统远程擦除了数万部员工设备数据,造成该企业全球运营大规模中断,这也是近期美国本土遭遇的最严重战时网络攻击之一。
CISA 在公告中证实,亲伊朗黑客通过入侵 Stryker 基于 Windows 的企业网络,非法获取了其终端设备管理系统的访问权限,进而实施了大规模数据擦除操作,直接导致 Stryker 全球业务出现持续性中断。针对此次安全事件,CISA 向企业提出核心防护建议:要求网络管理员为微软 Intune 等设备管理系统的高权限账户设置双重管理员审批机制,凡是执行设备擦除这类高影响、高敏感的操作,必须经两名管理员确认授权后方可执行,从权限层面杜绝单一账户被攻陷后的重大安全风险。
作为全球知名的医院医疗设备研发企业,Stryker 早在 3 月 11 日就已证实遭遇网络攻击,并披露企业网络正面临 “全球性中断”。与常规网络攻击不同,此次黑客并未部署恶意软件或勒索软件,而是绕过防护直接侵入企业内部系统,获取了微软 Intune 管理后台的访问权限,远程删除了数万名员工设备中存储的所有数据,受影响设备不仅包括企业配发的手机、平板和电脑,还涵盖了连接企业网络的员工个人设备。
目前 Stryker 虽已宣布控制住此次网络攻击并启动系统恢复工作,但核心业务仍受严重影响:尽管医疗设备本身的运行未受波及,但企业的供应链、订单处理和物流配送系统依旧处于下线状态,全球约 5.6 万名员工被要求断网,影响范围覆盖美国、爱尔兰、澳大利亚等主要运营区域。截至 CISA 发布警示,Stryker 仍未公布系统恢复的具体时间表,也未对媒体的置评请求作出回应。
此次攻击的始作俑者是亲伊朗黑客组织 Handala,该组织上周已公开宣称对此次网络攻击负责,称行动是为报复美国军方空袭伊朗一所学校导致数十名儿童遇难。Handala 还声称从 Stryker 网络中窃取了大量数据,但截至目前尚未提供任何相关证据。值得注意的是,FBI 已于 3 月 18 日查封了 Handala 组织的官方网站,试图遏制其后续的网络攻击行为。
事实上,此次 Stryker 遇袭并非孤例,而是伊朗针对美国发起的系列网络反击的一部分。近期伊朗伊斯兰革命卫队已公布针对美国的打击名单,谷歌、微软、IBM 等多家与美国军方合作的科技巨头中东数据中心和办公室均在列,伊朗方面直言,这些企业的技术被用于中东冲突,其数据中心的战略意义堪比石油,是美国在中东利益的 “七寸”。此前伊朗方面还曾对亚马逊位于中东的数中心发动攻击,导致当地银行、出行、外卖等多项民生服务陷入瘫痪。
此次 Stryker 网络攻击事件,再次暴露了企业在终端设备管理系统安全防护上的重大漏洞。微软 Intune 作为全球企业广泛使用的远程设备管理平台,被赋予了设备擦除、权限修改等核心权限,一旦该系统被攻陷,企业将面临设备数据被清空、运营体系瘫痪的致命风险。而多数企业为了操作便捷,往往未对高权限操作设置多重审批,这也为黑客提供了可乘之机。
CISA 的此次警示,也为全球企业敲响了终端管理系统安全的警钟。在网络攻击日益常态化、政治化的当下,企业不仅需要强化网络边界的防护,更要对内部设备管理系统的权限进行精细化管控,通过多重审批、操作审计、权限最小化等方式,降低高权限操作的安全风险。而对于医疗、能源、金融等关键基础设施领域的企业,更需提升网络安全防护等级,避免因网络攻击影响公共服务和民生安全。目前,美国相关部门已介入调查此次 Stryker 网络攻击事件,后续是否会引发美伊之间更多的网络对抗,仍有待观察。
