# CrowdStrike内部威胁事件：25000美元出卖公司截图的安全警示

关联知识库：# CrowdStrike内部威胁事件：25000美元出卖公司截图的安全警示

CrowdStrike内部威胁事件：25000美元出卖公司截图的安全警示

案例背景：2024年11月，全球顶尖网络安全公司CrowdStrike的一名员工以25000美元（约17.7万人民币）的价格向黑客组织出售内部系统截图和身份验证Cookie，最终被解雇并移交执法机构处理。

案例概述

时间：2024年11月
主角/公司：CrowdStrike（全球顶尖网络安全公司）内部员工
核心问题：内部人员被收买，泄露公司敏感信息
解决方案：内部调查、解雇员工、移交执法机构
结果：员工被解雇，系统未遭入侵，但暴露内部威胁风险

问题分析

背景与现状

• 攻击者：Scattered Lapsus$ Hunters黑客联盟（由ShinyHunters、Scattered Spider、Lapsus$等组织组成）
• 攻击方式：社会工程攻击，通过话术和诱导让目标主动交出登录凭证
• 目标公司：CrowdStrike（网络安全领域的头部企业）
• 关键制约因素：内部人员拥有合法访问权限，传统安全防线无法防范

攻击过程

• 第一步：ShinyHunters以25000美元价格收买CrowdStrike员工
• 第二步：内部人员拍摄公司内部仪表盘截图（包含Okta SSO面板）
• 第三步：提供身份验证Cookie，用于保持网站登录状态
• 第四步：黑客组织在Telegram频道公开截图，声称通过第三方供应商漏洞获取

关键事件/转折点

事件1：内部截图泄露

事件描述：

• Scattered Lapsus$ Hunters在Telegram上发布CrowdStrike内部仪表盘截图
• 截图中包含指向公司资源链接的仪表盘和Okta单点登录(SSO)面板
• 黑客最初声称通过第三方供应商Gainsight的漏洞获取访问权限

影响分析：

• 暴露了公司内部系统架构
• 可能泄露员工访问工作应用程序的主要登录页面信息
• 引发对内部威胁防护能力的质疑

后续反应：

• CrowdStrike启动内部调查
• 发现并解雇可疑内部人员
• 强调系统未遭入侵
• 移交执法机构处理

事件2：交易细节曝光

事件描述：

• ShinyHunters向BleepingComputer透露，曾以25000美元收买CrowdStrike员工
• 内部人员不仅提供截图，还提供了身份验证Cookie

影响分析：

• 揭示了内部威胁的"性价比"：收买内部人员比技术攻击成本更低
• Snowflake高级红队工程师Graham Helton调侃：与其花30万美元买RCE漏洞，不如花1000美元收买有维护权限的外包人员

失败原因分析

根本原因

1. 内部人员安全意识薄弱

   • 具体表现：员工为25000美元出卖公司信息
   • 影响程度：直接导致敏感信息泄露
   • 相关数据：25000美元（约17.7万人民币）

2. 内部威胁检测机制缺失

   • 具体表现：未能及时发现员工异常行为
   • 影响程度：直到黑客公开截图才启动调查
   • 相关数据：事件发生后才招聘"内鬼分析师"

3. 权限管理与监控不足

   • 具体表现：员工可以轻易拍摄内部系统截图并分享
   • 影响程度：敏感信息外泄风险高
   • 相关数据：员工拥有访问Okta SSO面板的权限

次要原因

• 企业文化与信任管理：信任、忠诚度等"禁忌"问题让CISO难以入手
• 外部攻击者伪装：攻击者广泛使用凭证窃取和身份盗用，伪装成"内部人员"
• 成本效益失衡：收买内部人员的成本远低于技术攻击成本

️ 行业应对措施

大厂招聘"内鬼分析师"

招聘趋势：

• CrowdStrike、Anthropic、黑石集团、德勤、北方信托、OpenAI、塔吉特、TikTok等企业均在招募内部威胁分析师

岗位要求：

• 参与保密的内部风险调查
• 创建并实施内部风险相关的检测措施
• 进行详细全面的调查，审查来自多个数据源的数据
• 与最终用户沟通潜在的政策违规行为
• 创建综合报告协助数据恢复工作

薪酬水平：

• 美国市场：年薪30-40万美元（约210-280万人民币）
• 配股权激励

技术解决方案

零信任架构：

• 核心目标：为每位用户提供恰到好处的访问权限
• 持续验证权限归属
• 随着项目启动、演进与结束，高效撤销权限

行为检测技术：

• 内部威胁管理平台
• 数据防泄漏系统
• 用户实体行为分析工具
• 邮件、终端、网络及云环境监控

经验教训与启示

对安全负责人的启示

1. "没法给'人'打补丁"：

   • 内部威胁分析需要细致入微的判断力
   • 无法简单通过编程形式的检测警报或AI驱动的分级处理解决
   • 异常数据下载可能意味着数据外泄，也可能只是员工为离线工作做准备

2. 分层协作的安全与文化策略：

   • 同时保护员工与组织
   • 与其他团队协作，了解可能触发内部威胁的重大事件
   • 在试用期、合同类型、通知期等阶段动态调整人员风险分组

3. 教育和沟通至关重要：

   • 落实内部威胁防范计划时，最关键的是教育和沟通
   • 规避意外发生的内部风险
   • 确保计划自管理层到基层均易于接纳
   • 将全体员工团结为有效的安全合作伙伴

对企业的启示

• 零信任是基础方案：通过零信任架构在环境中植入信任机制，最小化攻击路径
• 提升检测能力：必须大幅提升对恶意行为的检测能力
• 预防措施重要性：应与其他团队协作，了解可能触发内部威胁的重大事件
• 动态权限管理：分层管理不同的访问权限组，动态调整人员风险分组

案例价值

• 学习价值：即使是全球顶尖的网络安全公司，也面临内部威胁挑战
• 适用场景：所有拥有敏感数据的企业，特别是科技公司、金融机构
• 延伸思考：
  • 内部威胁的成本远低于外部攻击
  • 传统安全防线无法防范"自己人"
  • 需要从技术、管理、文化多维度防范内部威胁

延伸阅读

• 原文链接（2025-12-01）
• BleepingComputer报道
• The Stack报道

---

案例标签：#内部威胁 #网络安全 #CrowdStrike #社会工程攻击 #零信任架构

案例类型：安全警示案例
学习价值：⭐⭐⭐⭐⭐
适用场景：企业安全负责人、CISO、内部威胁防范、零信任架构实施

特别提示：真正危险的威胁，往往不是半夜FQ的黑客，而是早上刷门禁、打卡上班的"自己人"。系统再牢靠，人心依旧是"最大变量"。