黑客如何抹除史赛克公司20万台设备的数据？关键信息与深度防御启示

发布时间： 2026年03月26日
发布者：天磊卫士

2026年3月11日，全球医疗技术巨头史赛克公司（Stryker）遭遇了一场前所未有的网络攻击。数小时内，近20万台设备（包括笔记本电脑、服务器和移动设备）的数据被彻底清除，业务运营陷入瘫痪。与传统勒索软件攻击不同，此次攻击未使用任何恶意软件，而是通过盗用合法身份、滥用企业内置管理工具实现的“擦除攻击”。这一事件不仅暴露了现代企业安全体系的致命弱点，也为全球网络安全防御敲响了警钟。

一、事件回顾：一场“合法”的毁灭

攻击始于被盗用的员工凭证。攻击者通过暗网购买或通过信息窃取恶意软件获取了史赛克员工的有效登录信息，随后逐步渗透至公司核心的Microsoft环境。在提升权限并创建了新的全局管理员账户后，攻击者直接访问了企业设备管理平台Microsoft Intune。

Intune作为企业级移动设备管理（MDM）工具，本应用于合规管理、应用推送和设备保护，其“远程擦除”功能旨在应对设备丢失或被盗场景。然而，攻击者正是利用这一合法功能，向全球范围内的史赛克设备批量发出了擦除指令。顷刻间，数以万计的系统被重置，数据荡然无存。与此同时，攻击者还窃取了约50TB的敏感数据，进一步扩大了损失。

正如网络安全专家、SANS研究所讲师约翰·哈伯德（John Hubbard）所言：“现代攻击已从‘绕过防御’转向‘滥用信任’。最危险的攻击者不再破解系统，而是以合法身份登录，并使用企业自己的工具来摧毁企业。”

二、攻击路径解析：身份即漏洞

本次攻击清晰呈现了“身份优先”的现代攻击链：

初始入侵：通过钓鱼邮件、信息窃取木马或泄露凭证库获取员工账号。
横向移动：利用被盗身份访问内部系统，并提权至全局管理员。
工具滥用：直接使用Intune等已授权管理平台执行大规模破坏性操作。
数据外泄与销毁：在擦除设备的同时，并行窃取核心业务数据。

值得注意的是，整个过程中攻击者未触发传统恶意软件检测机制，因为其所有操作在系统看来均是“合法管理行为”。这凸显了当前以恶意软件检测为中心的防御体系的局限性。

根据IBM《2024年数据泄露成本报告》，83%的数据泄露涉及人为因素，而凭证盗窃已成为最常见的攻击初始向量。此外，Forrester研究显示，超过60%的企业在云身份和访问管理（IAM）配置上存在高风险漏洞。

三、深层安全启示：从检测到预防与韧性设计

史赛克事件表明，企业必须重新审视其安全架构，重点关注以下层面：

1. 身份与访问管理（IAM）的强化

多因素认证（MFA）与条件访问：对所有管理账户强制执行MFA，并基于设备状态、地理位置、行为基线实施动态访问控制。
最小权限原则：严格限制管理员权限，避免单一账户拥有全局擦除等高危操作权。
特权账户监控：对特权操作（如批量删除、策略变更）实施实时审计与异常行为分析。

2. 高风险操作管控与流程治理

多方审批机制：对于设备擦除、数据删除、防火墙规则变更等高风险操作，必须要求至少两名独立管理员批准。
操作时间与范围限制：禁止在非工作时间执行批量操作，并设置单次操作影响设备数量的上限。
模拟演练与红队测试：定期模拟攻击场景，检验防御体系对内部工具滥用的检测与响应能力。

3. 数据备份与灾难恢复体系

离线、异地备份：确保核心数据存在无法被在线账户删除的离线备份中。
快速恢复能力：建立演练过的灾难恢复流程，以在攻击发生后最大限度缩短业务中断时间。

美国网络安全与基础设施安全局（CISA）在《2024-2026年战略规划》中明确指出：“组织必须假设其身份系统已被渗透，并在此基础上设计具有韧性的架构。”

微信图片_2026-03-26_170341_568.jpg

四、构建体系化防御：天磊卫士的一站式安全合规解决方案

面对史赛克事件所揭示的深层风险，企业需要的不仅是单点技术工具，更是贯穿“预防-检测-响应-恢复”全生命周期的体系化安全能力。作为国家高新技术企业、海南省网络安全应急技术支撑单位，天磊卫士（UGUARD）基于多年深耕网络安全与合规服务的经验，为企业提供整合式安全评估与托管服务，直击此类攻击的核心弱点。

1. 资质与团队保障

天磊卫士持有信息安全服务资质认证证书（CCRC）（证书编号：CCRC-2022-ISV-RA-1699、CCRC-2022-ISV-RA-1648）、检验检测机构资质认定证书（CMA）（证书编号：232121010409）及信息安全服务资质证书（风险评估类一级）（证书号：CNITSEC2025SRV-RA-1-317），确保服务过程与交付物的专业性与公信力。技术团队核心人员持有CISSP、CISP-PTE等认证，并多次在攻防演练中担任裁判专家。

2. 针对“身份滥用”与“内部风险”的专项服务

身份与访问安全专项评估：全面审计企业的Active Directory、Azure AD/Entra ID、IAM策略及特权账户管理流程，识别权限过度分配、审批流程缺失等风险点。
管理平台安全加固：针对Intune、SCCM、EDR控制台等关键管理系统的配置进行深度核查，确保其安全设置符合最佳实践，并建立操作监控与告警机制。
数据安全风险评估：依据《数据安全法》及行业标准，评估核心数据的存储、传输、备份与销毁全流程安全性，确保即便在管理平台沦陷的情况下，数据仍可恢复。

3. 全流程服务与持续保障

天磊卫士提供从“需求确认、初测、整改指导、免费复测到报告交付”的完整闭环服务。在模拟攻击测试中，天磊卫士会特别针对“滥用合法工具执行破坏”的场景进行验证，帮助企业提前发现流程缺陷。此外，天磊卫士提供持续的安全合规托管服务，协助企业动态调整安全策略，适应不断变化的监管要求与威胁态势。

漏洞扫描的基础条件与关键评估点：构建有效安全检测的前置框架_1060_1_pic.jpg

五、结语

史赛克事件并非孤例，它标志着一类新型攻击范式的成熟：攻击者正越来越多地放弃复杂的漏洞利用，转而通过窃取身份、滥用信任来达成目的。防御的重点必须从单纯的边界防护和恶意软件检测，转向以身份安全为核心、以零信任为原则、以操作韧性为目标的体系化建设。

网络安全的核心挑战，往往不在于攻击技术多么高超，而在于企业自身的管理流程、权限控制和灾难准备是否存在短板。正如天磊卫士所坚持的理念：安全不是一次性的项目，而是需要持续运营、不断迭代的战略能力。只有将技术手段、管理流程与人员意识深度融合，才能构建起能够抵御“来自内部的毁灭”的坚实防线。