导语:
FortiOS SSL-VPN 零日与 Okta 会话泄露仍在持续发酵,AI 深伪 BEC 成为金融与制造的头号威胁;英国 NCSC 更新《AI Phishing Response》,微软/Google/CrowdStrike 的自治紫队框架在多个行业上线。零信任必须覆盖身份、会话、工具与算力。
1. FortiOS 与会话风险
- APT 通过 LLM 自动生成混淆载荷,把恶意数据放入 ClientHello 触发堆溢出,植入“RogueBeacon”并借 AnyDesk/ScreenConnect 持久化。
- Okta 旧版 Support Portal Cookie 被恶意扩展窃取,攻击者可直接访问客户后台、重置 MFA、下载 SAML 元数据。Okta 强制失效旧 Cookie,要求 FIDO2、浏览器完整性检测、扩展黑名单。
2. AI BEC/Phishing 新态势
- 攻击者在 Teams/Zoom/Meet 实时扮演 CFO/供应商,语音、表情、背景噪声均由模型驱动,脚本自动翻译适配当地法规语气。
- NCSC 建议高价值会议开启回拨验证、声纹、会话水印,对财务流程实施延迟支付与双重审批。
3. 自治紫队落地
- Security Copilot + Chronicle + Charlotte 提供开放 API,自动运行 MITRE 场景、生成检测指标、推送补救任务,并把结果写入 CMDB/GRC/SIEM。
- 制造/能源场景将紫队结果与 OT 日志对齐,缩短 OT 检测时间。
企业策略
- 身份/会话治理:启用硬件密钥、Token Binding、设备指纹,限制扩展读取 Cookie;VPN/防火墙启用客户端证书与地理限制。
- AI 滥用检测:部署语音/视频水印、声纹、行为分析;定期开展 AI BEC 演练,加入延迟支付与回拨确认。
- 紫队常态化:用 Copilot/Chronicle/Cortex 自动执行攻击脚本,统计 MTTD/MTTR,输出整改任务并写入 GRC。
- 供应链问责:合同写入 SBOM、日志访问、补丁 SLA,满足 CRA/NIS2 监管。
行动清单
- 清理历史 Okta 会话,启用 FIDO2、浏览器完整性、扩展黑名单。
- 为 FortiOS/Citrix/Palo Alto 等设备部署补丁、客户端证书、IP 白名单。
- 建立自治紫队流水线,每周运行至少一个场景并生成报告。
- 针对财务/采购开展 AI BEC 演练,完善延迟支付与二次确认。
风险提示
- 扩展生态复杂:缺少统一浏览器策略时,恶意扩展仍可窃取会话;需 MDM+浏览器策略双管齐下。
- AI 检测误判:水印/声纹可能影响正常会议,需保留人工复核通道。
- 数据孤岛:紫队结果若未入 CMDB/GRC,整改难追踪,需统一数据管道。
案例速写
- 金融集团:将 Security Copilot 演练结果自动写入 GRC,MTTD 从 40 小时降至 4 小时;对财务流程强制回拨验证后,AI BEC 误转账事件归零。
- 制造企业:在边界设备启用客户端证书和地理限制,即使零日被触发也能通过异常会话告警快速隔离分支工厂。
结语
算力加速攻防,零信任要落实在身份、会话、工具、算力全链路治理。把 AI 滥用检测与紫队自动化常态化,是新一代零信任的底线。
