2025 年 2 月 18 日,一对双胞胎承包商 Sohaib Akhter 与 Muneeb Akhter 在远程会议中被公司解雇后,仅用数小时便擦除了约 96 个联邦政府数据库,导致 45 个以上联邦机构的 FOIA 记录与调查文件永久丢失。更值得安全工程师注意的是:这并非他们的首次网络犯罪 ——2016 年二人曾因入侵美国国务院系统并窃取同事及联邦执法人员的个人信息被定罪入狱,却在此后仍被重新聘为政府承包商。本文从数字取证角度拆解这起事件的攻击链与 revocation 失效根因,并提炼出一套可在工程层面直接落地的零信任防护参数。
一、攻击链重建:从解雇到数据清洗的时间线
1.1 特权积累阶段(攻击前状态)
两人作为承包商,承担为联邦机构托管系统的职责,并持有对客户数据库的直接读写权限。其雇主公司托管着 45 个以上联邦机构的政府系统,运行于弗吉尼亚州阿什本的服务器环境中。这种高权限、长时窗的承包商角色,使得他们在系统中建立了大量隐式信任关系 —— 数据库写权限、系统管理凭证、以及对日志层本身的写入能力,均未被最小权限原则约束。关键在于,他们此前已持有对公司托管数据库的直接访问权,且未在任何访问控制策略中设置基于身份的时间窗口或会话上限。
1.2 即时破坏窗口(解雇后数分钟至数小时)
根据司法部披露的庭审文件,两人在远程会议中被解雇后,立即通过仍然活跃的会话凭证重新接入公司系统。值得注意的是,从解雇决策到凭证撤销之间存在可被利用的时间间隙 —— 这在传统城堡式防御模型中是常态,但在零信任框架中属于可被检测与阻断的异常行为。他们随即执行了以下操作序列:对目标数据库施加写保护以阻止恢复;批量删除 96 个联邦数据库;尝试清除系统日志以掩盖入侵轨迹;使用公司配发的笔记本电脑查询 AI 助手获取清除日志的操作建议;最后在归还设备前将两台笔记本全部擦除。
1.3 证据销毁与反取证行为
事件的一个技术细节值得特别关注:被告之一在删除国土安全部数据库后,主动咨询了 AI 助手以获取清除系统日志的指令。这一行为表明攻击者具备基础的数字反取证意识,并试图利用操作日志的弱点逃避检测。在标准 SIEM 部署中,日志存储通常与产生日志的应用共享同一信任域 —— 如果攻击者持有足够的应用层权限,便可将日志删除或篡改,从而切断事后取证的关键数据链。
二、离岗访问撤销为何失效:五个结构性根因
2.1 一次性会话 vs 持续验证
传统访问控制模型在用户认证成功后便授予其访问令牌,并在令牌生命周期内持续保持授权状态。两 Akhter 案揭示了这一模型的致命缺陷:即便组织在解雇流程中将用户从 HR 系统除名,如果未同步向所有依赖系统(数据库、VPN、云应用)推送 revocation 事件,活跃会话仍将保持有效。远程解雇场景进一步放大了这一风险 —— 员工可在收到解雇通知到 IT 完成凭证撤销之间利用这段时间差执行破坏行为。
2.2 特权账户的离线凭证缓存
数据库管理员账户与服务账户通常持有长期有效的凭证,且在多个系统间共享以维持运维可用性。本案中两兄弟持有对托管数据库的直接读写权限,这些权限凭证并未绑定到每一次会话的生命周期,而是以持久化形式存储在本地或共享密钥管理系统中。当他们被解雇时,如果仅撤销了 Active Directory 中的主账户而未同步撤销数据库自身的服务账户,则这些离线凭证仍可完成认证。
2.3 承包商多层级信任传递
政府 IT 外包生态中的信任传递链条往往比企业内部更长、更复杂。总承包商持有对系统的直接管理权限,而其分包商(如两兄弟)的访问权通过总包间接授予。当总包发现员工的前科记录并决定解雇时,如果 revocation 流程未覆盖到分包的间接权限,或者总包与分包之间的身份系统未实现级联撤销,则分包商仍可通过总包的系统入口维持访问。
2.4 日志系统与应用共享信任域
正如前文提到的攻击后 AI 查询行为所示,日志层与应用层共享同一信任边界。一旦攻击者获得应用层管理权限,日志系统便被纳入攻击面。他们对日志文件的删除或篡改使 SOC 无法通过事后日志分析重建完整的操作轨迹。取证分析的缺失不仅影响事件响应效率,还会在司法程序中削弱证据链的完整性。
2.5 缺乏离岗前的异常行为检测
两兄弟在被解雇前并无明显的攻击预兆 —— 或者说,现有的监控体系未能捕捉到他们的异常行为模式。但根据 SEI《减轻内部人员威胁指南》,内部威胁的行为指标通常在事件发生前数天至数周内出现,包括异常的数据访问时间戳、对敏感资源的批量导出、以及访问与工作职责不相关的系统。本案中的攻击者曾有联邦定罪前科,这一高风险标签应触发增强监控,但显然未被纳入安全策略的持续评估流程。
三、零信任模式下可落地的工程参数
以下参数基于本次事件分析与 MIT Lincoln Laboratory 零信任架构研究结论提炼,适用于有政府或关键基础设施背景的企业的安全工程实践。
3.1 会话生命周期参数(Session Lifetime Controls)
| 参数项 | 推荐阈值 | 说明 |
|---|---|---|
| 特权会话最大时长 | 15–30 分钟 | 高危账户每次授权后仅在固定时间窗口内有效,超时后需重新认证 |
| 会话空闲超时 | 5–10 分钟 | 无操作状态下自动锁定,需二次 MFA 解锁 |
| 关键操作强制重认证 | 每次执行前 | 删除数据库、修改权限等操作触发强制重新验证身份 |
| 并发会话上限 | 1–2 个(特权账户) | 同一账户同时持有超过阈值会话时触发安全告警 |
3.2 离岗访问撤销参数(Termination Revocation)
| 参数项 | 推荐值 | 实现方式 |
|---|---|---|
| 数字凭证撤销 SLA | ≤ 5 分钟(从 HR 通知到完成) | 自动化 webhook 触发式 revocation,HR 系统与 IdP 直接集成 |
| 物理访问权限撤销 SLA | ≤ 10 分钟 | 门禁系统与 IdP 实时同步,离职触发器立即失效 Badge |
| 云端 OAuth token 撤销 | 即时 | IdP 端吊销后通过短 TTL(≤ 5 分钟)配合 push 机制通知所有依赖方 |
| 数据库服务账户离岗轮换 | 每次员工离岗时触发 | PAM 金库自动轮换与该员工关联的所有共享凭证 |
| 远程会话强制中断 | HR 系统通知后 60 秒内 | VPN 与虚拟桌面基础设施在收到撤销事件后立即断连 |
3.3 特权访问管理参数(Privilege Access Management)
| 参数项 | 推荐配置 | 说明 |
|---|---|---|
| 最小权限实施粒度 | 列级或行级访问控制 | 不仅限制对数据库的访问,还限制对特定表 / 字段的操作类型 |
| Just-in-Time 访问审批流 | 高危操作需二次审批 | 删除 / 修改操作触发审批工作流,审批人独立于申请人业务线 |
| 共享账户强制拆分 | 禁用共享管理员账户 | 每个 DBA 与运维人员使用独立账户,所有操作归因到个人 |
| 第三方供应商会话隔离 | 专用特权会话网关 | 承包商仅通过沙盒化特权访问环境连接,禁止直接网络路径 |
3.4 取证就绪参数(Forensic Readiness)
| 参数项 | 推荐配置 | 说明 |
|---|---|---|
| 日志完整性保护 | 写一次、读多次(WORM)存储 | 日志实时写入不可篡改存储层,与应用层权限完全隔离 |
| 日志跨域冗余 | 三份副本存储于不同信任域 | 即便攻击者删除了本地日志,云端与离线归档仍保留数据 |
| 数据库操作审计覆盖率 | 100%(所有 DDL/DML 操作) | 每一 CREATE/DROP/ALTER 操作均记录操作用户、时间戳与上下文 |
| 会话录制 | 特权会话视频录制 + 不可篡改存储 | 所有 DBA 与系统管理会话全程录制,保存周期 ≥ 2 年(合规要求) |
| 证据保全触发器 | 员工离岗即触发 | 自动触发对该员工所有活跃会话与操作的取证数据保全 |
四、事件响应清单:检测窗口内的动作序列
当 SOC 在 termination SLA 内发现账户 revocation 未成功完成且伴随异常行为时,应立即执行以下动作序列:
第一阶段(0–5 分钟): 强制中断所有与该账户关联的活跃会话;在网络层封禁该账户的所有 IP 来源地址;在数据库层临时撤销该账户的所有直接连接权限,同时保留审计日志写入不受影响。
第二阶段(5–15 分钟): 触发取证数据保全 —— 冻结该账户过去 72 小时内所有操作日志、会话录制与数据库操作记录;启动跨平台日志关联分析,识别是否已有批量删除或数据导出行为;通知涉及数据的联邦机构合规联络人。
第三阶段(15–60 分钟): 委托法证镜像团队对相关服务器与终端设备进行完整取证镜像;开始采集 AI 助手查询记录(若涉及);启动内部调查与司法保全通知流程。
五、防御架构选型建议
对于托管多联邦机构数据的政府承包商环境,推荐采用以下三层零信任架构:
身份层: 以云原生 IdP 为中心,强制所有用户每次访问新资源时重新认证,废除单点登录的长期会话缓存。使用 FIDO2 硬件密钥绑定生物特征,消除密码重放攻击面。IdP 与所有下游系统通过 OpenID Connect / SCIM 2.0 实现实时同步,离职触发器在 60 秒内传播至所有依赖方。
网络层: 所有数据库访问必须经由特权访问网关,无论来源是内网还是远程。实施微分段策略,使每个应用的访问路径独立于其他应用,攻击者即便获得一个系统的凭据也无法横向移动。
数据层: 部署不可篡改的数据库审计层,记录所有 DDL/DML 操作,同时实施数据库写保护策略 —— 对已标记为 "归档" 或 "受保护" 状态的数据库集合施加额外写入权限限制,并在删除操作前强制触发人工审批与多因素确认。
六、总结与演进方向
双胞胎 Akhter 案绝非孤立的 "坏人干了坏事" 叙事,而是揭示了政府 IT 外包生态中特权管理、离岗流程与取证就绪三个维度的系统性缺陷。其核心教训在于:传统城堡式防御将 "已授权用户" 默认为可信实体,而内部威胁的最大杀伤力恰恰来自于这种隐式信任 —— 当一个曾有网络犯罪前科的人持有对你全部数据库的写权限时,一次远程解雇的 60 秒时间窗口便足以造成不可逆的损失。
零信任的核心哲学并非 "永远怀疑每个人",而是通过工程化的最小权限、会话时限与持续验证,使每一次访问都是一次独立的安全决策,从而将内部威胁的爆炸半径从 "整个数据库集群" 压缩到 "单一操作的短会话"。这一转变需要组织在身份基础设施、特权访问管理、审计日志体系与事件响应流程上同步投入,但当量级来到 96 个政府数据库与数十个联邦机构的业务连续性时,这笔投入的必要性已无需赘言。
资料来源
- ClearPhish: "Former Government Contractor Convicted for Wiping 96 Federal Databases"(https://www.clearphish.ai/news/former-government-contractor-convicted-wiping-federal-databases)
- MIT News: "Zero-trust architecture may hold the answer to cybersecurity insider threats"(https://news.mit.edu/2022/zero-trust-architecture-may-hold-answer-cybersecurity-insider-threats-0517)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。