APT攻击常见的五个后门思维，你踩过几个 - 保密网

场景切入

"就这一次，不会出事的。"

很多安全事件的开端就是这句话。无论是研发人员临时关闭杀毒软件跑编译、市场部用个人网盘传方案、还是老板把自己管理员的密码告诉助理"方便处理文件"，这些看似无伤大雅的小动作，恰恰是APT攻击者最爱利用的"后门思维"。

南京有一家做数据分析的科技公司，研发总监为了省事，把公用的数据库管理员密码保存在团队的共享文档里。密码用了五年从来没换过。后来一个员工离职时下载了大量数据，公司查都不知从何查起，因为"谁都能登录这个账号，根本不知道是谁在操作"。这个"图方便"的操作，就是典型的"后门思维"。

APT攻击者最擅长的事，不是破解技术壁垒，而是利用人们习以为常的"思维漏洞"。以下是科技企业中最常见的五个后门思维，看看你的公司踩过几个。

风险

后门思维一："内网可信，外网不可信。"

很多企业把大部分安全资源花在边界防护上——防火墙、入侵检测、VPN网关。以一套安全工具把内外网隔离开，就觉得万事大吉了。但实际上，一旦攻击者突破了边界（比如通过一封钓鱼邮件或者一个VPN漏洞），内网对攻击者来说就是"不设防"的。

道理很简单——你内网里可能有几千台设备，只要有一台被攻破，攻击者就可以从这台设备出发，横向移动去攻击其他设备。内网信任模型在APT攻击面前是失效的。

后门思维二："密码够复杂就安全了。"

密码再复杂也防不住社会工程学攻击。APT攻击者不会跟你猜密码，他们会直接问你——以"系统管理员"的身份发邮件让你重置密码，你输完他们就用上了。他们会爬取你社交媒体上的信息，用你的生日、宠物名字或你孩子的名字来试密码。

更关键的是，即使它们不知道你的密码，也可以通过Pass-the-Hash技术来利用你的身份——不需要知道你的密码原文，只需要拿到你的登录凭据哈希值，就可以模拟你的身份。而一台被攻破的电脑上可以轻松提取这些凭据。

后门思维三："离职员工的账号我们会手动删除。"

"手动"这个说法本身就存在问题。员工离职后账号没有首要时间自动冻结或删除，这是科技企业最常见的安全漏洞之一。攻击者如果获取了一个已经离职员工的账号（往往因为长期不用而不被监控），就可以用它来做各种操作而不会引起注意。尤其是一些拥有高权限的老员工账号，虽然人已经走了三四年，账号权限可能还保留着。

后门思维四："软件更新太麻烦，能不升就不升。"

漏洞修补速度是整个安全领域公认的难题。APT攻击者手里储备了大量的零日漏洞和已知漏洞利用工具。已知漏洞的利用，往往是攻击者最常规的攻击手段——因为它们既稳定又有效。如果企业长期不更新系统补丁，就等于不断积累风险敞口。而攻击者关注的就是这个"敞口"。

后门思维五："我们和核心供应商之间是信任关系，不需要额外防护。"

供应链攻击是APT组织最有效的手段之一。攻击者不直接攻击你，而是攻击你的供应商，然后用供应商的合法身份和权限来接触你的数据。你信任供应商，但供应商的安全水平你可能完全不了解。你的核心研发数据外包给了测试团队，那个测试团队可能连基本的安全策略都没有。这不是信任的问题，是攻击面管理的问题。

方案

针对这五个后门思维，可以逐个给出实操方案。

方案一：从"边界信任"转向"零信任"。 不论设备在内网还是外网，每一次访问都要验证用户身份、检查设备健康状态、评估访问行为是否合规。这不是一个高大上的概念，通过实施多因素认证、微隔离和持续行为评估，就可以在很大程度上落地。

方案二：全面启用多因素认证。 在所有关键系统上强制启用多因素认证。密码被窃取不再意味着账号被盗。这可能是投入产出比最高的安全建设。

方案三：建设自动化账号生命周期管理。 员工入职自动创建账号并分配基本权限，离职自动锁定所有账号并通知相关人员回收权限。定期（每季度）自动扫描一次"孤儿账号"——那些属于已经转岗或离职人员的未禁用账号。

方案四：建立漏洞管理优先级机制。 不是所有补丁都要打，但你核心系统上的关键漏洞应该优先修补。建立漏洞管理流程，基于漏洞等级、是否暴露到互联网、是否已有利用代码等因素来排序。至少要做到每两周扫描一次外部暴露面，每季度做一次内部漏洞扫描。

方案五：开展供应商安全评估。 对所有访问过你核心数据的供应商进行基本的安全水平评估。至少要求供应商提供安全认证证书、安全管理制度文档，并在合同中明确数据安全保护义务。对核心供应商，应定期进行安全审计。

误区

最大的误区是："我们现在没出事，所以这些后门思维不成立。" 大多数APT攻击在爆发前都是"没出事"的状态。没有出事的良好感觉很容易让企业放松警惕，而攻击者等待的就是这种松懈期。没出事不等于没有后门，可能只是因为攻击者还没到"收网"的阶段。

另一个常见误区是："我们公司规模小，可以逐项手动处理。" 手动处理意味着高度的不确定性。今天忘了、明天漏了，这些疏忽就是攻击者的机会。即使是小公司，也应该尽可能用自动化工具来管理账号、补丁和权限。

FAQ

Q1：零信任推广起来太复杂，小公司怎么做？
零信任不是一套大方案。小公司可以从最简单的做起：所有重要系统启用多因素认证；实施基本的网络隔离（财务、研发、办公分开）；对核心数据设置单独的访问审批流程。一步到位做不到，可以逐步接近。

Q2：供应商不肯接受安全评估怎么办？
在合同中把安全评估作为合作的必要条件。如果供应商拒绝，说明他们的安全意识令人担忧，合作的风险需要重新评估。同时可以降低评估门槛——不需要供应商提供内部细节，只需要证明他们通过了基本的安全认证（如ISO 27001）。

Q3：自动化账号管理工具贵吗？
市面上有不少成本可控的身份管理工具，中小企业可以按月订阅身份管理系统，每人每月几块钱的成本。相比因账号管理漏洞导致的数据泄露，这几块钱基本可以忽略不计。

Q4：漏洞那么多，怎么判断哪些要优先修？
可以参照通用漏洞评分系统（CVSS）来评估漏洞的攻击向量、利用难度和影响范围。优先修复：暴露在互联网上的系统漏洞、已经被公开利用代码的漏洞、影响核心业务系统的漏洞。

CTA

五个后门思维，你的公司踩了几个？如果超过两个，说明你的安全体系存在明显的思维缺陷。好消息是，这些缺陷都不是技术难题——它们是意识问题和管理问题，只要想改，都能改掉。

今天可以做一件非常简单的事：打开公司的IT资产清单，查一下有多少账号是"过期未注销"的。结果可能会让你发现一个潜伏的后门。如果想系统性地评估公司的安全思维缺陷，我们提供一份"后门思维自我检测清单"，覆盖了企业最常见的思维漏洞——填写后你可以知道你的公司处在什么水平。联系我们就可以获取。

（正文共1347字）