23 日 19:00,微盟服务出现大面积故障。
目前其官网发布了一则最新通告,其中提到:
目前犯罪嫌疑人已经被宝山区公安局进行刑事拘留,犯罪嫌疑人承认了犯罪的事实。犯罪嫌疑人乃微盟研发中心运维部核心运维人员贺某,贺某于2月23日晚18点56分通过个人 VPN 登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意的破坏。
现象原因:
运维人员,在远程办公期间,通过VPN连入内网,利用本身就有的权限,然后执行操作,造成对业务的巨大伤害。
部分公司的远程办公,将运维等要害部门和要害岗位放到了几乎没有监管的物理场所,由于在家里,没有了传统物理场所门禁,摄像头,同事领导的监督,让潜在攻击者放松了犯罪心理门槛,操作风险放大许多。
建议措施:
远程办公禁止或限制关键岗位的关键操作,部分操作只能远程下发指令,现场人员确认后操作。虽然效率低一些,风险可控。
核心是关键操作要识别出来,然后要分离,指令下达和确认操作的人分开。想起了之前在x行时的关键指令菜单化控制的项目。
摘自聂君老师。