51秒？！

是的，你沒(méi)看錯(cuò)。從黑客拿到你的憑證到橫向滲透整個(gè)網(wǎng)絡(luò)，只需要51秒。這不是黑客電影里的屏保特效，而是CrowdStrike最新威脅報(bào)告里的冰冷現(xiàn)實(shí)。

在這個(gè)百度副總裁未成年女兒都會(huì)用“開(kāi)盒掛人”的時(shí)代，黑客對(duì)“身份開(kāi)盒”早已輕車(chē)熟路，他們像幽靈一樣繞過(guò)檢測(cè)，悄無(wú)聲息地在企業(yè)內(nèi)網(wǎng)滲透擴(kuò)散——這速度，連喝杯咖啡的時(shí)間都不夠。

CrowdStrike反制對(duì)手操作高級(jí)副總裁Adam Meyers在接受VentureBeat采訪時(shí)一針見(jiàn)血：“入侵者一旦進(jìn)入系統(tǒng)，接下來(lái)就是橫向移動(dòng)。我們把這叫‘突破時(shí)間’——從初次訪問(wèn)到入侵另一個(gè)系統(tǒng)，最快記錄是51秒。攻擊者越來(lái)越快，防御者的日子越來(lái)越不好過(guò)?！?/p>

AI攻擊，唯快不破

別天真地以為黑客還在用老掉牙的惡意軟件砸門(mén)。如今，AI才是他們的“大殺器”——便宜、迅猛、多變。從語(yǔ)音釣魚(yú)（vishing）到深度偽造（deepfake），再到社交工程攻擊，AI讓這些招數(shù)快到飛起，效率直接碾壓傳統(tǒng)技術(shù)。

CrowdStrike《2025全球威脅報(bào)告》指出，2024年語(yǔ)音釣魚(yú)暴增442%，成為攻擊者獲取初次訪問(wèn)的首選武器。通過(guò)AI調(diào)優(yōu)話術(shù)，他們能輕松騙取敏感信息、重置憑證，甚至遠(yuǎn)程操控受害者——全靠一張嘴和幾行代碼。

Meyers坦言：“語(yǔ)音釣魚(yú)增長(zhǎng)442%，這背后是社交工程的升級(jí)。攻擊者得想新辦法，因?yàn)楝F(xiàn)代端點(diǎn)安全工具已經(jīng)讓傳統(tǒng)入侵變得像在機(jī)場(chǎng)過(guò)安檢帶水瓶一般困難?！?/p>

釣魚(yú)郵件也沒(méi)閑著。AI生成的郵件點(diǎn)擊率高達(dá)54%，而人工寫(xiě)的只有12%?！熬G蟬”網(wǎng)絡(luò)用AI內(nèi)容生成器操控5000多個(gè)假賬號(hào)散布選舉謠言，朝鮮FAMOUS CHOLLIMA小組則用生成式AI偽造LinkedIn求職者身份，瞄準(zhǔn)全球航空、國(guó)防和科技公司滲透。這波操作，不愧是AI黑產(chǎn)的“國(guó)家隊(duì)”。

身份攻擊取代惡意軟件，79%的首次入侵“無(wú)毒”

2024年，79%的初次入侵不靠惡意軟件，而是偷來(lái)的憑證、AI驅(qū)動(dòng)的釣魚(yú)和deepfake。云端入侵中，35%用的是合法憑證。Meyers一語(yǔ)中的：“攻擊者發(fā)現(xiàn)，偷合法憑證或搞社交工程比硬塞惡意軟件快多了。現(xiàn)代企業(yè)有安全工具護(hù)體，帶惡意軟件進(jìn)來(lái)就像過(guò)海關(guān)，很難不被抓?！?/p>

面對(duì)這波AI加速的身份攻擊，CIO和CISO們開(kāi)始反擊。National Oilwell Varco（NOV）的CIO Alex Philips透露，他們發(fā)現(xiàn)了一個(gè)關(guān)鍵漏洞：“我們沒(méi)法在資源端快速撤銷(xiāo)合法身份的會(huì)話令牌?！睘榇?，他們找了一家創(chuàng)業(yè)公司，開(kāi)發(fā)解決方案，確保能迅速掐斷常見(jiàn)資源的訪問(wèn)權(quán)限。

Philips的應(yīng)對(duì)策略硬核又實(shí)用：

• 零信任不是錦上添花，是必須品：強(qiáng)制安全策略網(wǎng)關(guān)讓偷來(lái)的會(huì)話令牌變成廢紙。
• 身份令牌被盜是高級(jí)攻擊標(biāo)配：NOV收緊身份策略，強(qiáng)制條件訪問(wèn)，研發(fā)快速撤銷(xiāo)令牌的機(jī)制。
• 別指望單點(diǎn)防御：職責(zé)分離，沒(méi)人能單獨(dú)重置密碼、多因素認(rèn)證或繞過(guò)條件訪問(wèn)。

他還提醒同行：“光重置密碼沒(méi)用，得立刻撤銷(xiāo)會(huì)話令牌，才能阻止橫向移動(dòng)?！?/p>

三招反制51秒快攻

51秒的突破時(shí)間暴露了身份與訪問(wèn)管理（IAM）的軟肋，只有驗(yàn)證每個(gè)身份、每個(gè)會(huì)話、每個(gè)資源請(qǐng)求才是正解。以下三招，來(lái)自Philips的實(shí)戰(zhàn)經(jīng)驗(yàn)和CrowdStrike的研究驗(yàn)證，專(zhuān)治AI驅(qū)動(dòng)的閃電攻擊：

• 認(rèn)證層截殺，掐斷擴(kuò)散

縮短令牌生命周期，實(shí)時(shí)撤銷(xiāo)權(quán)限，讓偷來(lái)的憑證和令牌秒變廢物。別等攻擊者跑遠(yuǎn)，第一步就得卡死他們。

• 零信任框架，量身定制

沒(méi)零信任計(jì)劃的趕緊上車(chē)。參考NIST標(biāo)準(zhǔn)，打造適合自家業(yè)務(wù)的框架。Philips強(qiáng)調(diào)：“我們大幅減少能重置密碼或多因素認(rèn)證的人，單人操作直接封殺。”

• AI反制AI，實(shí)時(shí)檢測(cè)

AI和機(jī)器學(xué)習(xí)在異常檢測(cè)上堪稱(chēng)“神器”。NOV用AI分析SIEM日志，識(shí)別高危事件，雖然不是100%實(shí)時(shí)，但延遲極短。Philips說(shuō)：“這讓我們能迅速抓住身份濫用和憑證威脅?！?/p>

統(tǒng)一防御，堵死橫向移動(dòng)

零信任的核心是端點(diǎn)和網(wǎng)絡(luò)分段，把入侵鎖在邊界內(nèi)。統(tǒng)一端點(diǎn)、云和身份安全，整合身份、云、端點(diǎn)數(shù)據(jù)，才能揪出潛伏的威脅。報(bào)告顯示，52%的漏洞與初次訪問(wèn)有關(guān)，SaaS和云控制平面必須鎖緊，防止攻擊者站穩(wěn)腳跟。

別老盯著惡意軟件，憑證濫用才是新戰(zhàn)場(chǎng)。清查所有云賬號(hào)，刪掉沒(méi)用的，從源頭掐斷風(fēng)險(xiǎn)。

AI戰(zhàn)AI，快者為王

攻擊者用AI提速，防御者也得跟上節(jié)奏。Philips的打法——AI驅(qū)動(dòng)檢測(cè)、秒撤銷(xiāo)令牌、零信任加持——已經(jīng)初見(jiàn)成效。成功的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者無(wú)一例外：最小權(quán)限、端點(diǎn)分段、交易監(jiān)控、身份驗(yàn)證，缺一不可。

AI武器化時(shí)代，身份安全成了生死線，51秒是AI時(shí)代企業(yè)數(shù)據(jù)安全的生死時(shí)速。你準(zhǔn)備好了嗎？