【安全资讯】首席信息安全官如何在地缘政治网络攻击时代生存

概要：

随着地缘政治紧张局势日益蔓延至网络空间，首席信息安全官（CISO）面临着动机从牟利转向破坏的新型攻击威胁。国家支持的行为者和政治关联组织正越来越多地部署旨在瘫痪组织和关键基础设施的破坏性恶意软件。近期针对全球医疗技术制造商Stryker的攻击事件，凸显了此类攻击可能造成的巨大运营中断和现实世界连锁反应，网络安全事件正日益与地缘政治冲突挂钩。

主要内容：

近期由伊朗关联组织Handala（又称Void Manticore）发起的攻击揭示了地缘政治动机网络攻击的新模式。2026年3月，该组织攻击了财富500强医疗技术公司Stryker，通过擦除器（wiper）恶意软件破坏了其全球数万台设备，导致79个国家的运营受阻，制造、订单处理和物流严重放缓。

此类攻击的成功往往并非依赖于复杂的恶意软件，而是攻击者在获得初始访问权限后，能够在网络内部自由横向移动。攻击者通常通过窃取的VPN凭证获得初始访问，然后在环境中进行手动操作，利用RDP、PowerShell远程、WMI、SMB、SSH等合法的企业行政管理工具进行横向移动和权限提升，最后同时部署多种擦除机制。

防御此类破坏性攻击的关键在于遏制和内部控制，而非仅仅依赖边界防御。有效的策略包括：实施身份感知访问控制以阻止凭证盗窃演变为全面网络访问；对管理端口实施默认拒绝策略，限制横向移动；基于角色和环境细分特权账户访问权限；检测内部网络中的异常连接路径或隧道行为；以及在破坏活动开始扩散时，快速自动隔离受损系统。

最终，在地缘政治网络冲突时代，组织的生存能力可能取决于其能否通过持续的可见性、对管理服务的控制以及自动化的遏制能力，有效限制攻击者在网络内部的移动，从而将破坏范围降至最低。