二零二零年十月,深圳一家做金融科技的企业被一条诈骗信息盯上了。一名自称来自某知名安全评估机构的高级安全审计师通过企业官网的公开邮箱发来邮件,表示该安全评估机构正在开展一次针对金融科技行业的免费安全检测活动。邮件中的企业信息非常准确,包括公司的准确名称、注册地址、主要业务板块甚至企业家姓名,显然经过了非常充分的事前准备工作。
企业的信息安全主管收到邮件后,本着与同行交流学习的心态,回复邮件表示愿意参加这项检测活动。对方很快通过邮件发来了一份专业格式的服务协议和保密承诺书,文档措辞正规,排版规范,甚至还附带了该机构的电子资质证书扫描件。一切看起来都和正规的安全服务流程没有任何区别,IT主管在事后回忆时表示完全看不出任何破绽。
按照对方安排的日程,这名自称安全审计师的人在约定日期通过远程接入方式对企业的核心系统进行了安全评估。在评估过程中,他要求企业IT人员提供网络拓扑图、防火墙策略规则、服务器清单和系统管理员权限的分布情况,理由是全面审计需要掌握完整的资产范围。IT主管和团队成员经过讨论认为,这些都是安全审计中再正常不过的操作步骤,完全没有产生怀疑,随即将这些详细信息提供给了对方。审计师在之后的三天时间里进行了多轮远程扫描和测试,出具了一份看起来非常专业的数十页安全评估报告,报告中指出了几个确实存在的系统配置问题,这让IT团队对评估的信任度进一步提高。
然而,这份报告发布后的第三个月,企业在一次内部组织的攻防演练中发现了一个令人震惊的情况。攻击方在演练中精确地绕过了企业防火墙的访问控制策略,直接访问了核心数据库服务器。安全团队深入调查后发现,攻防演练中使用的攻击路径图,和几个月前那次安全审计过程中获取的企业网络拓扑信息高度吻合。沿着这条线索继续追查,结果发现那家所谓的知名安全评估机构根本不知道有这项免费检测活动,所有资质证书和证明文件都是伪造的。那位自称安全审计师的人,实际上是竞争对手企业通过第三方商业情报公司雇佣的网络安全专业人士。
企业这次付出的代价相当沉重。竞争对手通过获取的网络拓扑结构和管理权限分布信息,不仅摸清了企业内部系统的防守薄弱点,还掌握了敏感数据资产的核心分布位置。虽然企业在发现问题后立即调整了防火墙策略和系统权限配置,但被对方掌握的信息已经无法撤回。这次经历之后,企业建立了对第三方安全评估机构的严格准入机制和现场审核制度,任何外部安全服务必须经过正式招标和安全部门的双重审核,服务人员的身份信息需与资质证书进行交叉验证,未经核准的评估服务一律不得接入企业生产系统。信息安全领域的根基在于信任,但当这份信任被别有用心的人利用时,它反而会成为攻击者最有力的武器。
