美國網路安全與基礎設施安全局 (CISA) 證實，在醫療科技巨頭史賽克公司 (Stryker Corp.)於2026 年 3 月 11 日遭受網路攻擊後，該機構正在追蹤針對全美各組織機構終端管理系統的惡意網路活動。據報道，此次攻擊導致連接到該公司微軟環境的企業設備資料被清除，並迫使該公司限制對某些資訊系統的訪問，同時應急人員努力控制攻擊並恢復營運。這起事件與疑似伊朗支持的威脅活動有關，而中東局勢也日益緊張。這次事件凸顯了關鍵醫療保健和企業 IT 基礎設施面臨的日益增長的風險。

對此，CISA敦促各組織加強終端管理系統配置，並採取更強有力的防禦措施來降低類似威脅。該機構還與包括聯邦調查局（FBI）在內的聯邦合作夥伴密切協調，共同調查此攻擊，識別更廣泛的威脅模式，並確定其他緩解措施。

Stryker在最新通報中表示：「我們正與全球各生產基地緊密合作，透過完善的應急和業務連續性計劃，管理營運並減輕潛在影響。我們正在積極恢復電子訂購系統。與此同時，您的史賽克銷售代表將直接與您和您的經銷商合作，盡力透過人工訂購的方式（如適用）為您提供補貨產品。」

中斷發生前下的訂單將在系統恢復後進行核對，中斷期間下的電子訂單將在系統恢復上線、供應恢復正常後進行處理。 Stryker聲明還補充道：「我們正優先恢復直接服務於客戶、訂單和發貨的系統。我們的核心交易系統已走上全面恢復的明確軌道，我們將持續更新進展情況。對我們而言，沒有什麼比我們服務的客戶和患者更重要，我們衷心感謝您一直以來的支持與合作。」

為了防範利用合法終端管理軟體的類似惡意活動，CISA 發出警報，敦促各組織實施微軟新發布的保護 Microsoft Intune 的最佳實踐，並指出這些原則也可應用於其他終端管理工具。

組織在設計管理角色時應遵循最小權限原則，確保使用者僅被授予執行其任務所需的存取權限。這可以透過 Microsoft Intune 中的基於角色的存取控制來實現，該控制會根據所需的特定操作以及這些操作所適用的使用者或裝置來限制權限。

CISA 還建議強制執行防釣魚的多因素身份驗證，並維護嚴格的特權存取安全機制。應利用 Microsoft Entra ID 中的條件存取、多因素身份驗證、風險訊號和特權存取控制等功能，以防止未經授權存取敏感的管理功能。

此外，組織應配置存取策略，要求對影響重大的操作進行多管理員批准。這可確保涉及敏感操作（例如裝置擦除、應用程式部署、腳本執行、角色修改或配置更新）的變更，在執行前需要獲得第二個管理員帳戶的授權。此外，網路安全機構建議審查一系列資源，以加強對類似惡意網路活動的防禦。

微軟建議各組織參考有關保護 Microsoft Intune 的指南，包括配置最佳實踐、透過存取策略實施多管理員批准以及應用零信任原則來增強整體安全性。此外，微軟還提供關於在 Intune 中實施基於角色的存取控制以確保適當的權限管理，以及在 Intune、Microsoft Entra ID 和其他 Microsoft 平台中規劃和部署特權身分管理以更好地控制特權存取的指南。

CISA 也建議各組織參考其自身關於實施防釣魚多因素身份驗證的指南，這是防止未經授權存取和加強身分安全的關鍵措施。

資料來源：https://industrialcyber.co/cisa/cisa-flags-rising-threats-to-endpoint-management-systems-after-stryker-breach-urges-stronger-defense/