导语:
FortiOS SSL-VPN 零日仍在被 AI 自动化利用,Okta 旧版会话泄露持续发酵,英国 NCSC 发布《AI Phishing Response》指南,美国金融业大量部署微软/Google/CrowdStrike 的自治紫队框架。算力加速了攻防双方的节奏,零信任的范围已经从“身份”扩展到“会话 + 工具 + 算力”。
1. FortiOS 零日链路
- 攻击者使用 LLM 自动生成多语言混淆载荷,将恶意数据放入 ClientHello 触发堆溢出,植入内存驻留模块“RogueBeacon”,再借 AnyDesk/ScreenConnect 长期驻留。
- Fortinet 热补丁上线,建议企业启用客户端证书、IP 白名单、日志镜像与闲置账号清理。
2. Okta 会话泄露扩散
- 多个浏览器扩展被发现收集 Support Portal Cookie 并传给攻击者,后者直接访问客户后台、重置 MFA、下载 SAML 元数据。
- Okta 强制失效旧 Cookie,要求客户启用 FIDO2、浏览器完整性检查、扩展黑名单。
3. AI BEC 与 Phishing
- NCSC 报告指出攻击者在 Teams/Zoom/Meet 中实时扮演 CFO,语音、表情、背景几可乱真;脚本由 LLM 生成并实时翻译。建议对高价值会议启用回拨验证、声纹、会话水印,财务流程必须延迟支付并执行双重审批。
4. 自治紫队框架
- 微软 Security Copilot、Google Chronicle、CrowdStrike Charlotte 提供开放 API,可自动运行 MITRE 场景、生成检测指标、推送补救任务,并将结果写入 CMDB/GRC/SIEM。
企业策略
- 身份+会话治理:启用硬件密钥、Token Binding、设备指纹,限制扩展读取敏感 Cookie;VPN/防火墙必须使用客户端证书、地理限制。
- AI 滥用检测:部署语音/视频水印、声纹、行为分析,对财务/供应链开展 AI BEC 演练,设立延迟支付与回拨验证。
- 紫队常态化:利用 Copilot/Chronicle/Cortex 自动运行攻击脚本,统计 MTTD/MTTR,输出整改任务。
- 供应链问责:在合同中写入 SBOM、日志访问、补丁 SLA,满足 CRA/NIS2 要求。
行动清单
- 清理历史 Okta 会话,启用 FIDO2、浏览器完整性、扩展黑名单。
- 为 FortiOS/Citrix/Palo Alto 等边界设备部署补丁、客户端证书、IP 白名单。
- 建立自治紫队流水线,每周运行至少一个场景并自动生成报告。
- 对关键业务流程实施 AI BEC 演练,完善延迟支付与二次确认机制。
风险提示
- 扩展生态复杂:缺少统一浏览器策略时,恶意扩展仍可窃取会话;需配合 MDM 管控。
- AI 检测误判:水印/声纹可能误判,必须保留人工复核通道。
- 紫队孤岛:若演练结果未写入 GRC/CMDB,整改无法追踪,需要跨系统集成。
结语
算力攻防把零信任推向“会话 + 工具 + 算力”的新阶段。只有把身份治理、AI 滥用检测、紫队自动化、供应链责任纳入日常运营,才能在持久战中保持韧性。
