导语:
11 月 14 日,全球安全圈仍被 Okta 会话泄露与 FortiOS SSL-VPN 零日笼罩,同时英国 NCSC 发布《AI-Enhanced Phishing》指南,微软/Google/CrowdStrike 宣布自治紫队合作框架。攻击者用 LLM + 深伪自动化钓鱼、防守方则以 Copilot + Purple Team 持续演练,零信任的本质被重新定义为“身份 + 会话 + 算力治理”。
1. Okta 旧 Session 事件
- 2019 前创建的 Support Portal 会话未绑定设备指纹,被恶意浏览器扩展窃取后在暗网售卖;攻击者凭此访问客户后台、重置 MFA、下载 SAML 元数据。
- Okta 已强制失效旧会话、启用 Token Binding、要求客户开启硬件密钥、浏览器完整性检测。
2. FortiOS CVE-2025-44701
- APT 组织通过 AI 生成多版本混淆载荷,将恶意数据写入 TLS ClientHello 触发堆溢出,植入内存驻留模块“RogueBeacon”,再使用 AnyDesk/ScreenConnect 持久化。
- Fortinet 提供补丁并建议启用客户端证书、地理限制、日志镜像与闲置账号清理。
3. AI Phishing + BEC
- NCSC 报告显示攻击者在 Teams/Zoom/Meet 中实时扮演 CFO/供应商,甚至模拟背景噪音以提升可信度;语音/视频脚本由 LLM 自动生成并实时翻译。
- 建议对视频会议启用“回拨确认 + 声纹识别 + 会话水印”,并在邮件/IM 中部署语言模型异常检测。
4. 自治紫队框架
- 微软 Security Copilot、Google Chronicle、CrowdStrike Charlotte AI 联合开放 API,让企业可自动运行 MITRE 场景、生成检测指标、推送补救计划;结果直接写入 CMDB、GRC、SIEM。
5. 企业策略
- 身份与会话治理:对所有 SaaS/VPN 启用硬件密钥、FIDO2、Token Binding、浏览器完整性检测;限制扩展读取 Cookies。
- AI 滥用检测:部署语音/视频水印、声纹、行为分析;训练团队识别 AI BEC,并引入延迟支付与双人确认。
- 自治紫队常态化:利用 Copilot/Chronicle/Cortex 自动运行红队脚本、记录检测时间、输出整改任务。
- 供应链问责:在合同中写入 SBOM、日志访问、漏洞披露条款,满足 CRA/NIS2 的抽检要求。
行动清单
- 清理历史 Okta 会话,启用设备指纹、硬件密钥、扩展黑名单。
- 为 FortiOS/Citrix/Palo Alto 等边界设备部署补丁、客户端证书与 IP 白名单。
- 搭建自治紫队流水线,每周运行至少一个 MITRE 场景并记录 MTTR。
- 针对财务、法务、供应链开展 AI BEC 实战演练,完善延迟支付与二次确认机制。
结语
攻防双方都获得了算力增幅,零信任的焦点已经从“身份”扩展到“会话 + 工具 + 算力”。把身份治理、AI 滥用检测、紫队自动化和供应链责任合成强制流程,才能在漫长的算力攻防中保持韧性。
