导语:
FortiOS SSL-VPN 零日仍在被 AI 自动化利用,Okta 旧版会话泄露余波未平,英国 NCSC 更新《AI Phishing Response》,微软/Google/CrowdStrike 的自治紫队框架在金融、制造场景大量落地。算力让攻防同频,零信任必须覆盖“身份、会话、工具、算力”。
1. FortiOS 零日链路
- APT 使用 LLM 自动生成混淆载荷把恶意数据写入 ClientHello,触发堆溢出植入“RogueBeacon”,再用 AnyDesk/ScreenConnect 持久化。Fortinet 发布热补丁并建议启用客户端证书、IP 白名单、日志镜像、闲置账号清理。
2. Okta 会话泄露扩散
- 恶意浏览器扩展窃取 Support Portal Cookie,攻击者可直接访问客户后台、重置 MFA、下载 SAML 元数据。Okta 强制失效旧 Cookie,要求 FIDO2、浏览器完整性、扩展黑名单。
3. AI BEC / Phishing 新态势
- 攻击者在 Teams/Zoom/Meet 实时扮演 CFO/供应商,语音、表情、背景噪声均由模型驱动;脚本自动翻译适配当地法规语气。NCSC 建议开启回拨验证、声纹、会话水印,并在财务流程实施延迟支付与双重审批。
4. 自治紫队框架
- Security Copilot + Chronicle + Charlotte 开放 API,可自动运行 MITRE 场景、生成检测指标、推送补救任务,并把结果写入 CMDB/GRC/SIEM。制造业用户将紫队结果与 OT 日志对齐,缩短 OT 环节检测时间。
企业策略
- 身份/会话治理:启用硬件密钥、Token Binding、设备指纹,限制扩展读取 Cookie;VPN/防火墙启用客户端证书与地理限制。
- AI 滥用检测:部署语音/视频水印、声纹、行为分析;高价值流程执行 AI BEC 演练、延迟支付、回拨确认。
- 紫队常态化:用 Copilot/Chronicle/Cortex 自动执行攻击脚本,统计 MTTD/MTTR,输出整改任务并写入 GRC。
- 供应链问责:合同写入 SBOM、日志访问、补丁 SLA,满足 CRA/NIS2 监管。
行动清单
- 清理历史 Okta 会话,启用 FIDO2、浏览器完整性、扩展黑名单。
- 为 FortiOS/Citrix/Palo Alto 等设备部署补丁、客户端证书、IP 白名单。
- 建立自治紫队流水线,每周运行至少一个场景并生成报告。
- 针对财务/采购开展 AI BEC 演练,完善延迟支付与二次确认。
风险提示
- 扩展生态复杂:缺少统一浏览器策略,恶意扩展仍可窃取会话;需 MDM + 浏览器策略并列管控。
- AI 检测误判:水印/声纹可能影响正常会议,必须保留人工复核通道。
- 数据孤岛:紫队结果若未入 CMDB/GRC,整改无法追踪,需统一数据管道。
结语
算力加速攻防,零信任要落实在身份、会话、工具、算力全链上。把 AI 滥用检测与紫队自动化常态化,是新一代零信任的底线。
