51秒?!
是的,你没看错。从黑客拿到你的凭证到横向渗透整个网络,只需要51秒。这不是黑客电影里的屏保特效,而是CrowdStrike最新威胁报告里的冰冷现实。
在这个百度副总裁未成年女儿都会用“开盒挂人”的时代,黑客对“身份开盒”早已轻车熟路,他们像幽灵一样绕过检测,悄无声息地在企业内网渗透扩散——这速度,连喝杯咖啡的时间都不够。
CrowdStrike反制对手操作高级副总裁Adam Meyers在接受VentureBeat采访时一针见血:“入侵者一旦进入系统,接下来就是横向移动。我们把这叫‘突破时间’——从初次访问到入侵另一个系统,最快记录是51秒。攻击者越来越快,防御者的日子越来越不好过。”
AI攻击,唯快不破
别天真地以为黑客还在用老掉牙的恶意软件砸门。如今,AI才是他们的“大杀器”——便宜、迅猛、多变。从语音钓鱼(vishing)到深度伪造(deepfake),再到社交工程攻击,AI让这些招数快到飞起,效率直接碾压传统技术。
CrowdStrike《2025全球威胁报告》指出,2024年语音钓鱼暴增442%,成为攻击者获取初次访问的首选武器。通过AI调优话术,他们能轻松骗取敏感信息、重置凭证,甚至远程操控受害者——全靠一张嘴和几行代码。
Meyers坦言:“语音钓鱼增长442%,这背后是社交工程的升级。攻击者得想新办法,因为现代端点安全工具已经让传统入侵变得像在机场过安检带水瓶一般困难。”
钓鱼邮件也没闲着。AI生成的邮件点击率高达54%,而人工写的只有12%。“绿蝉”网络用AI内容生成器操控5000多个假账号散布选举谣言,朝鲜FAMOUS CHOLLIMA小组则用生成式AI伪造LinkedIn求职者身份,瞄准全球航空、国防和科技公司渗透。这波操作,不愧是AI黑产的“国家队”。
身份攻击取代恶意软件,79%的首次入侵“无毒”
2024年,79%的初次入侵不靠恶意软件,而是偷来的凭证、AI驱动的钓鱼和deepfake。云端入侵中,35%用的是合法凭证。Meyers一语中的:“攻击者发现,偷合法凭证或搞社交工程比硬塞恶意软件快多了。现代企业有安全工具护体,带恶意软件进来就像过海关,很难不被抓。”
面对这波AI加速的身份攻击,CIO和CISO们开始反击。National Oilwell Varco(NOV)的CIO Alex Philips透露,他们发现了一个关键漏洞:“我们没法在资源端快速撤销合法身份的会话令牌。”为此,他们找了一家创业公司,开发解决方案,确保能迅速掐断常见资源的访问权限。
Philips的应对策略硬核又实用:
- 零信任不是锦上添花,是必须品:强制安全策略网关让偷来的会话令牌变成废纸。
- 身份令牌被盗是高级攻击标配:NOV收紧身份策略,强制条件访问,研发快速撤销令牌的机制。
- 别指望单点防御:职责分离,没人能单独重置密码、多因素认证或绕过条件访问。
他还提醒同行:“光重置密码没用,得立刻撤销会话令牌,才能阻止横向移动。”
三招反制51秒快攻
51秒的突破时间暴露了身份与访问管理(IAM)的软肋,只有验证每个身份、每个会话、每个资源请求才是正解。以下三招,来自Philips的实战经验和CrowdStrike的研究验证,专治AI驱动的闪电攻击:
- 认证层截杀,掐断扩散
缩短令牌生命周期,实时撤销权限,让偷来的凭证和令牌秒变废物。别等攻击者跑远,第一步就得卡死他们。
- 零信任框架,量身定制
没零信任计划的赶紧上车。参考NIST标准,打造适合自家业务的框架。Philips强调:“我们大幅减少能重置密码或多因素认证的人,单人操作直接封杀。”
- AI反制AI,实时检测
AI和机器学习在异常检测上堪称“神器”。NOV用AI分析SIEM日志,识别高危事件,虽然不是100%实时,但延迟极短。Philips说:“这让我们能迅速抓住身份滥用和凭证威胁。”
统一防御,堵死横向移动
零信任的核心是端点和网络分段,把入侵锁在边界内。统一端点、云和身份安全,整合身份、云、端点数据,才能揪出潜伏的威胁。报告显示,52%的漏洞与初次访问有关,SaaS和云控制平面必须锁紧,防止攻击者站稳脚跟。
别老盯着恶意软件,凭证滥用才是新战场。清查所有云账号,删掉没用的,从源头掐断风险。
AI战AI,快者为王
攻击者用AI提速,防御者也得跟上节奏。Philips的打法——AI驱动检测、秒撤销令牌、零信任加持——已经初见成效。成功的网络安全领导者无一例外:最小权限、端点分段、交易监控、身份验证,缺一不可。
AI武器化时代,身份安全成了生死线,51秒是AI时代企业数据安全的生死时速。你准备好了吗?