斯特赖克袭击不是技术失误:而是管理者自我膨胀的代价
2026年3月11日,午夜过后不久,斯特赖克公司(Stryker Corporation)的系统开始关闭。没有爆炸,没有勒索软件,也没有隐藏服务器上安装恶意代码。一个名为Handala的亲伊朗组织使用了合法的微软Intune管理员凭证,向79个国家的超过20万个设备发送了指令:删除一切。数小时内,56000名员工发现他们的笔记本电脑、公司电话和个人设备变为砖头。五十太字节的数据,包括与供应商的合同、医院信息和产品设计文件,毫无阻碍地从组织内部流出。
美国政府发出警报,敦促企业确保其微软系统的安全。斯特赖克向美国证券交易委员会提交了一份表格,承认其遭受了重大且不可确定的财务影响。电子订单停止了运作,一些手术程序被延误。
然而,我对这一事件感兴趣的并不是攻击的机制,而是使其成为可能的自满架构。
当基础设施变成盲点
微软Intune管理着全球数千个组织的设备。其逻辑十分优雅:拥有正确特权的管理员可以推送更新、配置安全策略,以及在极端情况下,远程擦除丢失或被攻陷的设备。这一最后的功能是为了保护企业。然而,在斯特赖克的案例中,这成了攻击的武器。
那种福雷斯特咨询(Forrester)分析师所描述的“土生土长”技术——利用环境自身的合法工具进行攻击——并不是技术新颖的东西。实际上,这种方法在网络安全领域已有多年文献记录。Handala团队并没有发明任何东西,而是找到了Intune管理员或全球管理员的凭证,可能是通过事先的恶意软件窃取的,并正好利用这些凭证完成设计的功能。
这里的首个诊断我认为对每一位高级管理层的读者都是相关的:造成最严重损失的攻击并不是爆炸未知的漏洞,而是利用了组织未加足够监控和摩擦的特权。斯特赖克之所以遭受攻击,不是因为有人发现了微软代码的漏洞,而是因为有些人掌握了钥匙,而决策链中的任何人都没有构建一个系统,要求每次都确认这些钥匙是否在正确的手中。
目前,所有技术总监、CEO及董事会成员应问自己的问题不是技术方面的,而是组织上的:在我的企业里,谁可以下令删除20万个设备,以及这个人和这一能力之间存在多少摩擦。
管理的舒适性制造脆弱性
我在银行、制造和现在的医疗科技等各个不同的行业中见过这种模式反复出现。一家公司成长了,它的数字基础设施扩展。IT团队因为使用广泛的访问权限操作比用细致的权限更高效,而积累了特权。身份和访问管理变成了一场技术交谈,“这是安全团队的责任”,而那个团队通常资源有限,没有真正的高层支持,向下报告而不是向上汇报。
管理的舒适性是一个隐含的决定:不复杂化内部流程以保持运营速度。多年来,这一决定带来了积极的结果:系统顺利运行,设备得到管理,员工无阻碍工作。直到某个持有被窃凭证的人决定利用这一舒适性作为自己的入侵向量。
斯特赖克在2025年创造了超过200亿美元的收入。其Mako手术机器人单独就产生了13亿美元的收入。公司在79个国家运营,雇佣了数万名员工。然而,擦除其所有设备基础设施的能力却集中在一个明显通过被盗凭证获得的高权限级别上。这种规模与控制之间的不对称是一个精确的症状,揭示了当增长速度超越机构成熟速度时所发生的情况。
这里并没有单个的恶棍。这里有一种管理文化,可能多年来都把运营敏捷性放在了访问治理之上。这是领导层的决定,而非技术事故。
BYOD模式及无人想算的债务
此次袭击中有个值得特别关注的要素,因为它超越了公司级别:个人设备。斯特赖克像成千上万的全球公司一样,采用了包含员工私人手机和笔记本的管理模式,将其注册在微软Intune中。当Handala执行远程擦除时,并没有进行区分,企业和个人设备都收到了相同的指令。个人照片、密码管理器、多因素认证应用、财务记录:全部被删除。
在企业环境中采用个人设备的模式,将效率转移到企业,而将风险转嫁给员工。斯特赖克多年来省去了为员工提供专用企业设备的成本。2026年3月11日,这些员工用自己的个人信息为这一节省买单。
这并不是对斯特赖克特定的道德评判,而是对整个行业广泛做法的诊断。它所揭示的是大多数组织并没有与员工或董事会坦率交谈:当我们要求他们在个人设备上安装我们的系统时,我们是在要求他们承担一种我们没有量化或补偿的风险。接下来,可能产生的集体诉讼不仅仅是针对攻击者,也将是针对设计出一个数据删除个人信息的可能后果的公司。
福雷斯特咨询分析师还警告说,泄露的50太字节数据可能被用于构建高度可信的身份盗用攻击:以斯特赖克名义向医院发送伪造邮件,虚假召回指示,供应链操纵。3月11日的损害并没有在3月11日结束。
管理成熟度在于未被审计的特权
在发生这样的攻击后,任何组织都有一个舒适的叙事:我们是高度复杂的国家行为的受害者,我们迅速反应,控制了损害,我们的医疗设备从未受到威胁。这个叙事有部分真实。斯特赖克相对迅速地发现了入侵,Mako手术机器人依靠本地存储在USB上的计划继续运作,供应链也依然通过手动流程继续运作。
但是,这些回应都无法回答任何高级管理者希望从此事件中学习的重要问题:在3月11日之前,有关特权访问权限的哪些治理对话因为不舒服、成本高昂或在组织内难以政治上维持而未能进行。
一个公司的安全架构始终真实地反映其内部权力架构。未经审计而积累的特权是数字等价于没有人审核的流程,因为设计它的人仍在公司里。未更换的凭证是没有人重新谈判的承诺。没有双重验证的全球管理员访问权限是一次性做出的决定,在另一个上下文中进行,而在之后没有人有动力去质疑。
医疗科技领域面临着2025年攻击增加30%的风险。40%已记录的漏洞涉及被盗凭证。这些数字并不是引发恐慌的理由,而是使自满不可原谅的背景。
一个看待这一事件并得出结论认为斯特赖克运气不好的人,读错了故事。一个组织的文化是追求真正目标的自然结果,或是领导者自我膨胀不允许进行所有艰难对话的必然症状。
