导语:
11 月 12 日,网络安全舆论被“算力博弈”笼罩:Fortinet 确认最新 FortiOS SSL-VPN 零日被 APT 滥用,攻击者使用 AI 自动生成逃逸载荷;英国 NCSC 与美国 CISA 联合发布《AI-Enhanced Threats》白皮书;微软、Mandiant、Palo Alto 等巨头组建“自治紫队联盟”,把 Copilot 与红队工具串联;欧盟 CRA(网络韧性法案)公布上市豁免和重罚细则。防守方需要在资产最小化、AI 滥用检测、供应链责任上同步升级。
1. FortiOS 零日长尾
- CVE-2025-44701 允许攻击者通过恶意 TLS ClientHello 触发堆溢出并注入“RogueBeacon”多阶段植入,后者具备内存驻留、命令代理、云服务 C2。
- 攻击者利用 AI 静态分析模型自动生成多款混淆加载器,绕过防病毒和 EDR。
- Fortinet 提供临时补丁,建议启用客户端证书、地理限制、日志镜像,同时限制过期账号。
2. AI 驱动 BEC 与深伪
- FBI IC3 报告显示 2025 Q3 BEC 损失同比增长 110%,攻击者在视频会议中实时扮演 CFO,语音与面部由 AI 驱动;部分攻击甚至结合自动化资金路由脚本。
- 银行与大型企业开始部署声纹核验、二次回拨、智能合约锁定;对任何超额支付强制“冷静期”。
3. 自治紫队联盟
- 微软 Security Copilot、Google Chronicle、Palo Alto Cortex、CrowdStrike Charlotte AI 合作推出开放框架,允许企业自动运行红队脚本、收集日志、生成补救建议。
- 框架映射 MITRE ATT&CK/D3FEND,并将结果写入 CMDB 与 GRC 系统,实现“攻击—检测—响应”闭环。
4. CRA 实施细则
- 欧盟明确 CRA 将于 2026 年正式执行,联网产品需提供 5 年安全更新、SBOM、漏洞披露窗口。若未履行责任,最高罚全球营收 6%。
- “高风险产品”需在上市前提交安全评估、渗透测试、补丁 SLA,并接受随机抽检。
5. 企业策略
- 资产最小化:对 VPN、防火墙、远程管理口启用客户端证书、FIDO2、设备健康检测,建立实时资产清单。
- AI 滥用检测:在邮件、聊天、视频会议中部署行为分析、声纹识别、内容水印;训练员工识别 AI BEC。
- 自治紫队运维:利用 Copilot、Chronicle、Cortex 自动触发红队/蓝队演练,输出量化指标,纳入 OKR。
- 供应链责任:在采购合同中写入 CRA/SBOM 要求,规定漏洞通报与补丁 SLA;建立供应商安全评分。
行动清单
- 立即评估 FortiOS 版本,部署补丁与临时缓解,开启客户端证书与日志镜像。
- 对财务与法务团队开展 AI BEC 演练,实施延迟支付与双人审批。
- 搭建自治紫队流水线,每周运行攻击脚本并记录平均检测时间。
- 整理产品 SBOM、漏洞披露流程,准备 CRA 抽检与客户问责。
结语
AI 把攻击与防守都推入算力时代。企业唯有以资产最小化、AI 滥用检测、自治紫队与供应链责任构建新基线,才能在未来的攻防拉锯中保持韧性。
