导语:
10 月 29 日,CISA 公布零信任评估框架 2.0、微软披露 Entra ID OAuth 持续被滥用的新漏洞、欧洲议会通过软件责任指令草案,三大动向重新划定网络安全的能力边界与合规要求。
新闻纵览
CISA 在华盛顿发布零信任评估框架 2.0,将行为分析与模型供应链纳入强制评估项;微软安全响应中心披露 CVE-2025-44112,攻击者可利用未受限 OAuth 应用获取 Entra ID 永续令牌,影响全球 1,200 余家企业;欧洲议会通过《软件责任指令》草案,要求关键软件供应商在 2027 年前提供可验证的 SBOM 与安全支持周期承诺。
技术拆解
零信任评估框架 2.0 引入“上下文感知访问得分”,以实时数据驱动访问决策,并新增模型供应链安全项,要求提供模型签名与推理解耦证明;CVE-2025-44112 利用 OAuth 应用的“长期客户端凭据”与 token cache,实现跨租户横向移动,微软建议启用条件访问与 OAuth 应用限制;欧盟草案规定 SBOM 需要包含模型权重、数据来源与安全补丁时间线,并与市场监管机构共享漏洞披露渠道。
产业影响
政府与大型企业将加速部署零信任自动化工具,安全预算向行为分析、身份治理倾斜;OAuth 漏洞促使企业严控第三方集成,SaaS 商需提供细粒度授权模板;欧盟的软件责任制度迫使 ISV 建立供应链透明度,未能提供 SBOM 的供应商可能失去跨境经营资格。
策略建议
1)建立跨部门零信任治理委员会,定期使用框架 2.0 进行评估;2)在 Entra ID 中启用 OAuth 应用审批与逐级审计,结合 Anomaly Detection侦测异常令牌行为;3)构建 SBOM/MBOM 平台,覆盖软件、模型、数据与第三方依赖;4)与法律团队联合制定漏洞披露 SLA,确保符合欧盟要求。
关注指标
零信任得分、异常访问拦截率、OAuth 应用审批周期、令牌撤销成功率、SBOM 完整度、漏洞修复平均时间、跨境合规通过率。
案例洞察
一家北美能源公司引入零信任框架 2.0 的评分体系后,将高风险访问事件降低 47%,并在渗透测试中阻断了模型供应链攻击;某亚太银行调整 OAuth 管控策略,结合条件访问与动态密钥,将高危应用数量压缩 60%;一家欧盟 ERP 供应商上线 SBOM 平台,与客户共享软件物料清单,赢得国有企业采购资格。
风险提示
零信任自动化需要高质量数据支撑,未完善数据治理会导致误判;严格的 OAuth 限制可能影响业务集成,需要与业务部门协作制定白名单;SBOM 推行耗费大量人力,若缺乏自动化工具,可能成为形式主义负担。
行动清单
1)部署行为分析引擎与 eBPF 可观测平台,收集访问上下文;2)梳理所有 OAuth 应用,分类设定凭据有效期与权限;3)引入自动化 SBOM 生成工具,确保版本与补丁同步;4)开展供应链攻防演练,验证零信任策略覆盖;5)将软件责任指令要求纳入采购条款,约束供应商。
趋势展望
AI 模型供应链将成为安全合规重点,预计出现“模型责任保险”等新业态;身份安全将与业务风控融合,形成统一的动态授权平台;SBOM 从文档演进为实时服务,企业需构建可查询、可审计的物料库。
参考资料
- CISA Zero Trust Maturity Model 2.0 发布会资料,2025-10-29。
- Microsoft MSRC 安全公告 CVE-2025-44112,2025-10-29。
- European Parliament Press Release on Software Liability Directive,2025-10-29。
运营挑战
零信任框架升级后,SOC 团队的告警量可能激增,需要通过自动化编排(SOAR)和威胁情报联动减少噪声。建议建立“零信任运营手册”,将身份、网络、应用、模型四大域的策略统一记录,并对关键控制点设定测试用例。在 OAuth 治理方面,可利用权责地图(Access Responsibility Matrix)划定应用所有者、审批者、审计者的职责,避免凭据无人维护。对于 SBOM,推荐与供应商签署“实时同步”协议,当依赖更新时即刻推送,减少漏洞暴露窗口。
人才与生态
新的安全要求意味着人才缺口扩大。企业可建立“模型安全官”岗位,负责模型供应链、合成数据、Prompt 安全等新领域;与高校、培训机构合作推出零信任与 OAuth 深度课程。行业合作也很关键:加入 CISA、ENISA 的情报共享社区,与同行建立跨企业演练机制,通过红蓝对抗验证 SBOM 与零信任策略的有效性。对于跨国企业,建议成立区域安全工作组,结合本地法规调整实施方案,降低跨区域差异带来的复杂度。
