微盟突遭员工“删库跑路”！300万商铺遭瘫痪

2月24日晚间，微盟官方发布公告表示：SaaS业务数据遭到一名员工“人为破坏”，故障发生后排查发现大面积服务集群无法响应，生产环境及数据遭受严重破坏。

经查，本次故障是微盟核心运维人员贺某因个人精神、生活等原因，通过个人VPN登入公司内网跳板机，对微盟在腾讯云上的线上生产环境进行了恶意破坏。

员工删库跑路，公司市值暴跌10亿

事情从2月23日晚说起。

当时微盟公司的SaaS业务突然崩溃，而基于微盟的商家小程序都处于宕机状态，300万家商户生意基本停摆。

第一时间，微盟收到系统监控警报，发现是SaaS业务服务出现故障，随后立即召集相关技术人员进行排查，发现微盟服务器遭到了严重破坏。

然而，系统崩溃了24小时后，依旧没有得到修复。

于是2月24日晚间，微盟官方发布公告，表示正在紧急修复中，服务恢复预计还需要24-48小时——诡异的是没解释背后原因。

 

微盟发布了公告：

 

微盟表示，预计老用户数据将在2月28日晚上24点前方可完成数据修复。这意味着微盟商家将面临长达5天的生意停摆，而如果数据最终无法恢复，更会对相关商户造成“严重打击”。

1、不要指望运维人员永不犯错

不可否认，数据库运维工作是一份“磨人的苦差事”。运维人员不仅要持续承受工作责任所带来的巨大心理压力，为了应对外部攻击和非工作时间的突发事件，通宵达旦的加班更是家常便饭。长期的双重消耗本就令运维人员身心俱疲，加之疫情氛围与相对封闭的工作生活状态对人情绪等方面的影响，有可能导致个别运维人员做出如犯罪嫌疑人贺某这般不理智的行为。因此，企业除了对运维人员进行安全观念与法律意识层面的培养外，规范的制度流程以及有效的技术手段才是完成对数据库运维、尤其是远程运维工作的安全管理工作的根本保障。

值得注意的是，微盟作为一家生于云、长于云的SaaS企业，其主营业务几乎全部要在互联网上开展，即使不是在疫情期间，远程数据库运维也应该属常态；即便如此，还是没能避免类似自家运维人员“删库跑路”事件的发生，值得更多企业警醒！

2、严格定流程，技术做支撑

此次事件中，微盟并非对安全风险“毫无防备”，其公司内网并未直接暴露在互联网上，而是需要使用VPN才能进行连接。远程办公大都需要通过访问内网，再通过内网跳板机访问生产核心系统数据；跳板机只能完成对网络隔离或数据库准入的初级控制，无法对数据库实例、表级、字段级、数据级的防护，无法做事中阻断和拦截，因而无法阻止高危操作的发生。一旦有人通过跳板机登录内网后，企业的核心生产数据、敏感信息数据、重要业务系统数据便会如“羔羊”般完全暴露在没有任何防护的“狩猎场”上。

除了内部需要吸取教训、在人员和流程的规范性上做好防控以外，我们也需要在外部的安全管理上进行加强。

 

解决方案

MCK主机加固系统软件：

不仅保护业务系统文件，还可以加固操作系统、加固应用、加固数据、加固数据库WEB应用程序漏洞防利用模块、数据库保护模块，全方位保护服务器的安全，可以抵御资深专业黑客，运维管理人员。对管理员和普通用户能够执行的操作都进行管控，在管理员权限沦陷后依然可以有效保护服务器的安全。

其主要特点：

1、重新定义操作系统安全相关模块，即使入侵者获得管理员权限，不影响服务器安全性；

2.可以保护网站，也能保护应用服务器；

3.内嵌操作系统中，可保持系统纯净；

4.和原有传统安全措施不冲突5.容易部署、运维简单。