导语:
11 月 16 日,安全圈仍在应对 FortiOS SSL-VPN 零日、Okta 会话泄露与 AI 深伪 BEC 的余波。英国 NCSC 发布《AI Phishing Response》指南,微软/Google/CrowdStrike 的自治紫队框架开始被金融客户采纳。零信任正在从“身份”扩展到“会话 + 工具 + 算力”。
1. 事件速览
- FortiOS CVE-2025-44701:APT 利用 AI 自动生成多语言混淆载荷,通过 ClientHello 触发堆溢出,植入 “RogueBeacon” 并借 AnyDesk、ScreenConnect 持久化。Fortinet 发布热补丁,建议启用客户端证书、IP 白名单、日志镜像。
- Okta 会话泄露:旧版 Support Portal Cookie 被恶意扩展窃取,攻击者直接访问客户后台、下载 SAML 元数据。Okta 强制失效旧 Cookie 并要求 FIDO2 + 浏览器完整性检测。
2. AI BEC/Phishing
- NCSC 指出攻击者在 Teams/Zoom 中实时扮演 CFO/供应商,语音、表情、背景一致;脚本由 LLM 自动生成并实时翻译。建议对高价值会议启用回拨验证、声纹、会话水印,并对财务流程实施延迟支付与双重审批。
3. 自治紫队框架
- 微软 Security Copilot、Google Chronicle、CrowdStrike Charlotte 联合开放 API,自动运行 MITRE 场景、生成检测指标、推送补救计划,结果写入 CMDB/GRC/SIEM。
4. 企业策略
- 身份 + 会话治理:启用硬件密钥、Token Binding、设备指纹,限制扩展访问敏感 Cookie;VPN/防火墙启用客户端证书和地理限制。
- AI 滥用检测:部署语音/视频水印、声纹、行为分析,对财务/法务/供应链开展 AI BEC 演练,设置延迟支付与二次确认。
- 紫队常态化:利用 Copilot/Chronicle/Cortex 自动运行攻击脚本,统计 MTTD/MTTR,并把结果写入安全 OKR。
- 供应链问责:在合同中写入 SBOM、日志访问、补丁 SLA,满足 CRA/NIS2 审查。
行动清单
- 清理历史 Okta 会话,启用 FIDO2、浏览器完整性、扩展黑名单。
- 为 FortiOS/Citrix/Palo Alto 等设备部署补丁、客户端证书、IP 白名单。
- 建立自治紫队流水线,每周运行至少一个场景并自动生成整改任务。
- 对财务与关键采购流程实施 AI BEC 演练,完善延迟支付与回拨认证。
风险提示
- 扩展生态复杂:若未统一浏览器策略,恶意扩展仍可窃取会话;需结合 MDM+浏览器策略集中管控。
- AI 检测误判:语音/视频水印可能导致误判,必须设人工复核通道,以免阻断正常业务。
- 紫队结果孤岛:若演练结果未写入 GRC/CMDB,整改难以跟踪,需要建立跨系统数据管道。
结语
算力攻防迫使零信任升级。只有把身份、会话、AI 滥用检测、紫队自动化、供应链责任整合为常态机制,企业才能在持久战中保持韧性。
