犯罪网络如何利用内部人员漏洞

犯罪网络正在快速适应，他们赌的是企业跟不上步伐。让我们证明他们错了。

Rob Juncker, Mimecast首席产品官
2025年7月15日
5分钟阅读
来源：Panther Media Global via Alamy Stock Photo

评论

当你听到"内部威胁"时，会想到什么？一个流氓员工在离职前窃取文件？想得更大一些。现实要令人震惊得多。今天的内部威胁不是出于恶意行动的独狼——他们是复杂有组织犯罪网络手中的棋子。这些团体不仅利用你系统中的漏洞；他们还利用你的人，将受信任的团队成员变成他们计划中不知情的同谋或故意的合作者。

这是安全领导者必须面对的当前现实。犯罪网络正在嵌入操作人员、胁迫员工，并使用尖端战术从内部渗透组织。

内部利用的新时代

今天的对手正在培养内部人员并从内部操纵访问权限。美国官员最近发现了一项大规模活动，朝鲜IT工作者冒充远程承包商，在数百家美国科技公司（包括财富500强公司）获得就业机会。使用被盗身份、伪造凭证和AI生成的个人资料照片，这些操作人员能够渗透到企业环境中，并将数百万美元的收入汇回以资助朝鲜的武器计划。根据Google威胁情报组（GTIG）研究人员的说法，这种IT工作者骗局几年前就开始了，但仅在全球范围内增加，德国、葡萄牙和英国等国家成为新目标。

相关：近2000台MCP服务器毫无安全性可言

犯罪勒索软件组织也直接针对内部人员。根据威胁研究人员的说法，像LockBit这样的团伙，以及最近不太知名的DoNex，试图贿赂员工在公司网络上安装恶意软件。这些提议通常通过匿名消息、勒索软件攻击期间的直接通知或暗网论坛出现，针对财务困境的员工或具有提升权限的员工。

其他攻击者使用心理操纵来危害内部人员，而他们并不完全知情。在2023年MGM度假村的违规事件中，Scattered Spider团体的成员冒充IT支持代理，并使用社会工程学说服员工重置凭证并在不知情的情况下部署恶意软件。通过模仿受信任的帮助台程序，攻击者绕过了技术控制并在环境中获得了立足点。

这些事件反映了一个日益增长的趋势。外部行为者不再仅仅专注于突破边界。他们正在针对内部有访问权限的人员。

招募手册

相关：安全团队最小化代理AI混乱的3种方式

犯罪网络使用各种策略来针对内部人员：

• 经济激励：在经济不确定和工资停滞的时代，仅点击链接就能获得六位数的报酬可能难以抗拒。
• 敲诈和胁迫：被盗的个人数据被武器化，以威胁员工服从。
• 匿名工具：暗网和加密消息应用程序允许招募者和内部人员无需担心被发现地进行通信。
• 情感操纵：社会工程学不仅仅是欺骗用户点击钓鱼链接，还涉及利用心理漏洞与潜在同谋建立关系。

与传统的钓鱼活动不同，这些努力是个性化的、持久的，并且越来越专业化。而且因为它们通常始于看似合法的数字空间，如LinkedIn消息、自由职业平台或招聘板，所以更难被发现。

即使是有健全安全政策的组织也可能发现自己被蒙蔽。虽然在招聘期间审查员工是必要的，但这还不够。人们的情况会改变。他们的动机也会改变。而标记风险行为的传统工具通常会错过标志着内部人员与有组织犯罪合作的缓慢、有计划的行动。

相关：固件漏洞继续困扰供应链

阻止新内部威胁的现代策略

面对操纵员工或渗透组织的犯罪网络，传统方法行不通。企业需要重新思考他们的防御措施，不仅要防止违规，还要预测和反击现代对手的复杂战术。以下是组织可以采取更主动和有效步骤来对抗这些威胁的方法：

从被动监控转向主动监控

行为分析和用户活动监控有助于建立"正常"行为的基线，并识别偏差，如异常的文件访问模式或工作时间之外的数据外泄。及早发现这些异常可以在违规发生之前阻止它们。

保护数据，不仅仅是边界

安全团队应摆脱仅仅关注基于设备的策略，而是优先理解数据的价值。一个包含专有源代码的10KB文件可能比一个10GB的视频更具破坏性。像产品设计或商业机密这样的高价值非结构化数据需要更强的控制和可见性。

培养诚信和心理安全的文化

当员工感到被重视和支持时，他们不太可能被诱惑或胁迫进行恶意活动。安全不仅仅是一个技术问题；它是一个文化问题。创造一个环境，让员工感到有权报告可疑活动，包括外部行为者的招募尝试，而无需担心报复。让做正确的事比做错误的事更容易。

加强零信任原则

任何人都不应无限制地访问敏感系统或数据，无论其职位或资历如何。定期实施最小权限访问，重新验证权限，并验证每个连接，以确保严格的安全控制始终到位。

协作和风险评估也需要重新思考

应对内部威胁需要的不仅仅是内部警惕；它需要合作行动和诚实的自我评估。犹豫外部合作的公司，通常担心声誉损害，可能会错过一个至关重要的机会。情报共享不再是可选的；它是一种生存策略。执法部门、行业团体和私营部门组织之间的合作已经破坏了重大的网络犯罪行动。通过汇集见解和发现招募模式，公司可以比孤立工作更快、更有效地阻止威胁。

每个组织还必须认真审视自身的漏洞。提出关键问题，比如哪些部门或个人可以访问你最敏感的数据。这些访问级别是否合理？你是否教育了员工关于犯罪分子用来招募内部人员的策略？你是否建立了一个环境，让他们安全、轻松地报告可疑活动？

内部威胁已经演变。我们的防御也必须如此。犯罪网络正在快速适应，他们赌的是企业跟不上步伐。让我们证明他们错了——不是把员工作为潜在威胁对待，而是让他们成为我们最强大的防线。

关于作者

Rob Juncker
Mimecast首席产品官

Rob Juncker是Mimecast的首席产品官，负责监督产品战略、开发和交付。他之前担任Code42（2024年被Mimecast收购）的首席技术官，领导了Incydr解决方案的创建。Rob曾在Ivanti和VMware担任高级工程职位，并拥有超过25年的安全、云和IT经验。

查看更多来自Rob Juncker的内容

保持最新网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

订阅更多见解

网络研讨会

像网络罪犯一样思考以阻止下一次潜在攻击
2025年7月22日

提升数据库安全：利用数据威胁分析和安全态势
2025年7月23日

DOGE对网络的影响：发生了什么以及下一步是什么？
2025年7月24日

解决ICS/OT修补和漏洞管理的难题
2025年7月30日

为更有效的安全合作创建路线图
2025年8月14日

更多网络研讨会

活动

[虚拟活动] 现代企业的战略安全
2025年6月26日

[虚拟活动] 数据泄露剖析
2025年6月18日

[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月2日

更多活动

您可能还喜欢

漏洞与威胁
ToddyCat APT针对ESET漏洞加载静默恶意软件

漏洞与威胁
微软对多功能’StilachiRAT’发出警告

漏洞与威胁
Apache Tomcat RCE漏洞遭受两步利用攻击

漏洞与威胁
公司被黑的十大最可能方式

编辑选择
可用服务的源圈

网络安全运营
LevelBlue收购Trustwave，形成全球最大独立MSSP
作者：Jeffrey Schwartz
2025年7月1日
3分钟阅读

一名男子对着移动设备说话，显示语音生成应用程序

网络攻击与数据泄露
虚假朝鲜IT工人的范围和规模浮现
作者：Becky Bracken
2025年7月1日
6分钟阅读

关于鱼叉式网络钓鱼的是/否问卷

端点安全
我们都错了：钓鱼培训不起作用
作者：Nate Nelson, 特约撰稿人
2025年7月1日
6分钟阅读

白皮书

MDR神话终结者：关于MDR的事实与虚构分离
Cortex XSIAM：机器主导、人力赋权的安全平台
XSIAM信息图：谈论一场革命
劳动力安全状况：IT和安全领导者的关键见解
Prisma Access浏览器：SASE的一个组成部分

更多白皮书

事件

[虚拟活动] 现代企业的战略安全
2025年6月26日

[虚拟活动] 数据泄露剖析
2025年6月18日

[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月2日

更多事件

发现更多
Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们

版权所有 © 2025。本网站由Informa TechTarget拥有和运营，这是一个全球网络的一部分，该网络通知、影响并连接全球的技术买家和卖家。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。

首页|Cookie政策|隐私|使用条款

Cookie按钮
关于本网站的Cookie

我们和我们的合作伙伴使用cookie来增强您的网站体验，了解我们的网站如何使用，提供个性化功能，衡量我们服务的有效性，并在您浏览网页或跨设备与我们互动时根据您的兴趣定制内容和广告。点击"继续"或继续浏览我们的网站，即表示您同意我们和我们的合作伙伴使用cookie。更多信息见隐私政策

继续

Cookie政策

当您访问任何网站时，它可能会在您的浏览器上存储或检索信息，主要是以cookie的形式。这些信息可能关于您、您的偏好或您的设备，主要用于使网站按您的期望工作。这些信息通常不会直接识别您，但可以给您更个性化的网络体验。因为我们尊重您的隐私权，您可以选择不允许某些类型的cookie。点击不同的类别标题以了解更多信息并更改我们的默认设置。但是，阻止某些类型的cookie可能会影响您对网站的体验和我们能够提供的服务。

更多信息
允许所有管理同意偏好

严格必要的Cookie
始终活跃

这些cookie对于网站功能是必要的，不能在我们的系统中关闭。它们通常仅响应您提出的服务请求而设置，例如设置您的隐私偏好、登录或填写表格。您可以将浏览器设置为阻止或提醒您这些cookie，但网站的某些部分将无法工作。这些cookie不存储任何个人身份信息。

性能Cookie
始终活跃

这些cookie允许我们计算访问量和流量来源，以便我们可以衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，并查看访问者如何在网站上移动。这些cookie收集的所有信息都是汇总的，因此是匿名的。如果您不允许这些cookie，我们将不知道您何时访问了我们的网站，也无法监控其性能。

功能Cookie
始终活跃

这些cookie使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面的第三方提供商设置。如果您不允许这些cookie，那么这些服务中的部分或全部可能无法正常工作。

定向Cookie
始终活跃

这些cookie可能由我们的广告合作伙伴通过我们的网站设置。它们可能被那些公司用来建立您的兴趣档案，并在其他网站上向您显示相关广告。它们不直接存储个人信息，而是基于唯一标识您的浏览器和互联网设备。如果您不允许这些cookie，您将体验较少的定向广告。

返回按钮
Cookie列表搜索图标
过滤器图标
清除复选框标签标签
应用取消
同意合法利益复选框标签标签复选框标签标签复选框标签标签确认我的选择