2025年9月2日，捷豹路虎公司發布公告，英國三家工廠3.3萬名員工從8月底開始暫停上班。9月23日該公司最新公告，停工至少延續到10月1日。

根據英國當地媒體分析，這種情況很可能持續到11月，意味著約價值17億英鎊的5萬輛汽車無法生產，約1.2億英鎊利潤的流失，利潤折合人民幣超過10億。

根據捷豹路虎公司官網，信息事件進展如下。

9月2日，發布公告受到網絡攻擊。

圖片

9月10日，發布公告可能有部分數據泄露，已通知相關監管機構。

9月16日，發布公告生產暫停時間延長至9月24日。

9月23日，發布公告生產暫停時間延長至10月1日。

圖片

一、捷豹路虎遭受攻擊分析

一伙自稱“Scattered Lapsus$ Hunters”的網絡犯罪分子聲稱對此攻擊事件負責，他們公布了捷豹路虎SAP系統截圖，并表示還部署了勒索軟件。

“Scattered Lapsus$ Hunters”采取的攻擊手段，最可能是APT攻擊，這也是他們之前攻擊其他企業的慣用手段。

什么是APT攻擊？APT攻擊和常規攻擊的最大區別是針對性，攻擊者會提前幾個月，通過公開信息，如官網、招聘信息、企業社交賬號“踩點”。摸清組織架構、網絡布局、甚至員工習慣。然后量身定制攻擊方案，潛入后不斷進行橫向攻擊，一點點把核心數據偷走，并在關鍵時候發起攻擊，令企業業務停止。

APT攻擊常用方式有四種。

第一是定向釣魚郵件。攻擊者不會群發郵件，而是針對特定崗位定制內容。比如針對HR人員，偽裝成“合作獵頭公司”，主題是“候選人簡歷推薦”，附件藏有惡意代碼，利用HR日常處理簡歷的習慣突破。甚至會模仿高管的郵箱后綴，發“緊急通知”讓員工點擊鏈接“確認工作進度”，以竊取賬號密碼。

第二是供應鏈攻擊。我們日常會使用到很多工具軟件，如果這些第三方服務商被攻擊也會連帶中招。比如攻擊者篡改某款常用軟件更新包，當更新軟件時，惡意代碼就會跟著植入。

第三是內網橫向攻擊。一旦突破第一道防線，比如某員工的辦公電腦，攻擊者就像間諜進了辦公樓，悄悄往核心區域突破。他們會用員工電腦里存儲的密碼，比如瀏覽器保存的內網系統密碼，登錄其他賬號，甚至破解低權限賬號后，升級成管理員權限。

第四是竊取數據。攻擊者往往不會一次性把數據打包傳走，這樣容易觸發流量告警，通常是螞蟻搬家方式把核心數據壓縮加密后，拆成小文件傳輸。

二、本次事件反應出捷豹路虎哪些問題

本次事件反應出捷豹路虎三方面問題。

第一是安全防御體系不完善。比如可能對員工沒有定期的安全意識培訓，殺毒軟件沒有做到百分之百覆蓋。系統上線的時候很少做安全測試，數據傳輸沒有流量分析工具進行分析。

第二是安全運營體系不完善。比如在攻擊者嘗試掃描的時候，對異常頻繁的掃描沒有告警和處置。當攻擊者進行攻擊的時候，沒有告警，對告警能不能做到短時間的應對和處置。安全建設遵循木桶原理，可能沒有主動的安全掃描和檢查，發現系統安全的薄弱點，不斷提升安全水平。

第三是災備體系不完善。為什么本次攻擊造成停產這么長時間，分析原因很可能是核心系統的數據受到破壞，造成業務系統很難恢復。為什么會這樣，肯定是體系化的備份不完善，備份數據沒有足夠的權限隔離，甚至沒有離線的備份數據。另外，本次事件也表明捷豹路虎缺乏體系化的災備演練，出現極端情況的時候，沒有快速恢復機制。

三、如何預防類似攻擊

針對類似攻擊的特點，要建立一整套體系，具體分四個層面落地。

第一，外部防御，筑牢大門。按照縱深防御理念，補齊安全產品，做到多層面立體化防御。比如物理層面的門禁、攝像頭。網絡層面的防火墻、流量分析產品。主機層面的殺毒軟件，HIDS產品。應用層面的應用防火墻WAF。數據層面的數據防泄漏產品等。

另外，安全工具要發揮作用，需要建立安全運營體系，對安全工具定期巡檢，能夠7x24小時響應告警并處置。能夠對安全設備的配置不斷優化，主動的進行安全掃描和測試。不斷提升安全水平，筑牢安全防線。

第二，內網隔離，根據區域隔離。根據業務把網絡分成辦公區、工業生產區、研發區、服務器區等，每個區域默認禁止訪問。根據需要開白名單，并且定期審核。管好賬號權限，按照最小權限原則賦予權限，比如市場部同事只能訪問市場相關數據，不允許訪問研發數據。所有操作全程留痕，隨時可以通過日志追溯。

第三，加強員工安全意識教育，避免員工成 “突破口”。定期組織安全意識培訓、釣魚郵件演練，至少保證每年一次。鼓勵員工主動上報異常情況，員工發現可疑郵件、異常彈窗，可直接反饋給安全部，對有效上報的同事給予獎勵，調動全員參與防御的積極性。

第四，做好預案，萬一發生極端情況能夠快速止損。數據備份與恢復，核心數據落實321備份原則，即至少3份數據副本，使用2種不同的備份節奏，至少1份異地備份。制定應急預案，明確發現攻擊后，誰負責隔離設備、誰負責溯源、誰負責上報。至少半年組織一次應急演練，確保極短時間內能夠響應，能夠隔離受影響區域。