“登录”后的风险?——ATO攻击的防御断层

admin 2026-07-01 05:17:15 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档分析ATO攻击通过劫持合法会话绕过MFA认证,攻击手法包括会话Cookie窃取、MFA疲劳攻击和凭证滥用。防御失效根源在于过度依赖一次性认证而缺乏持续信任评估。建议构建现代化身份防御体系,通过设备合规检查、上下文感知和动态信任评估实现全链路防护。 综合评分: 82 文章分类: 身份安全,威胁情报,安全建设,解决方案,应用安全


cover_image

“登录”后的风险?——ATO攻击的防御断层

小铭团队 – C 小铭团队 – C

观初科技

2026年6月23日 18:20 上海

在小说阅读器读本章

去阅读

前言

新型账户接管(ATO)攻击可实现无感入侵,全程无异常告警、无异常IP特征,可成功绕过MFA多因素认证。攻击者通过劫持合法有效会话,以授信身份执行业务操作,攻击隐蔽性极强。

当前ATO攻击已趋于常态化。企业混合办公、BYOD及第三方接入模式的普及,大幅扩充了人机身份体量,造成身份访问可视性不足、权限治理复杂度提升。相较于传统漏洞利用攻击,依托身份体系缺陷的账户接管手段更高效、更难被溯源检测。

01

攻击手法演进

会话劫持上升为主流攻击向量

攻击重心已从窃取静态密码转移至获取活动会话Cookie与认证令牌。通过信息窃取恶意软件(Infostealer),攻击者可直接挟持已通过验证的受信会话,完全规避登录认证与MFA检测环节。中间人代理(AitM)框架进一步降低了攻击门槛,可在用户完成认证后实时窃取会话令牌。

MFA绕过技术日趋成熟

主流MFA绕过手段包含MFA疲劳攻击与实时中间人中继攻击。前者通过高频推送验证请求诱导用户误授权,后者在认证链路中窃取有效令牌,两类技术大幅削弱了MFA的防护能力。

凭证滥用与规模化攻击

攻击者依赖已泄露凭证及跨账户密码重用,借助信息窃取软件从终端批量收割凭证、浏览器存储密码及会话Cookie。非托管设备与BYOD策略的普及进一步扩大了攻击暴露面。

02

防御机制失效的根源

ATO攻击日益发生在认证通过后的有效会话内部,使用合法身份凭证且异常特征微弱。多数企业防御体系仍聚焦于登录入口环节,对会话层面的攻击存在显著检测盲区。

根本原因在于,大量安全控制机制将“成功认证”视为信任的终点,而非持续验证的起点。传统IAM工具仅能验证凭证有效性,却难以判别凭证背后的操作者是否可信。在混合办公与BYOD环境下,安全团队常被迫在严格访问控制与用户体验之间做出妥协。

03

构建现代化身份防御体系

持续验证设备与身份信任

打破“一次认证,永久信任”的传统模式。将设备信任纳入身份安全框架,在登录时及整个会话期间持续检查设备合规状态(包括系统更新、安全配置等),并基于实时风险动态调整访问权限。

全链路、上下文感知防御

防御需覆盖攻击全链路:访问前评估设备风险;认证时抵御钓鱼和中间人攻击;会话中持续监测行为异常与信任信号。针对非托管设备,需实施上下文感知的访问控制与引导式修复能力。

转向持续信任评估模型

身份本身已不足以作为可信依据。防御机制需融合设备状态、会话风险与用户行为信号,实施动态、持续的信任评估,而非依赖一次性认证结论。

观初科技

ATO攻击的持续上升态势表明,基于静态身份凭证的信任模型已然过时。安全锚点须转向对设备、行为与风险信号的持续评估,方能有效应对日益复杂的身份威胁格局。

企业不应被动等待厂商革新。借助专业安全服务商构建全场景安全能力体系,是更为切实可行的路径。

观初科技专注于企业信息安全解决方案,已形成从安全咨询、方案落地到持续运维、迭代优化的完整服务闭环,涵盖边界防御、身份治理、数据保护及持续监测响应等核心能力,具体服务包括以下九个层面:

  • 网络防御:依托防火墙、入侵检测与防御系统等技术,构建坚实边界防护屏障,有效抵御外部攻击,守护网络边界安全。
  • 终端安全:为服务器、PC、移动设备等各类终端配备防病毒、终端检测与响应等防护能力,防范恶意软件入侵及横向扩散。
  • 数据安全:围绕数据全生命周期,提供分类分级、加密、脱敏、防泄露等全方位保障,守护核心数据资产不被窃取、篡改或滥用。
  • 安全监测:通过流量分析、日志审计等手段,实时监控网络与系统异常行为,及时发现并预警潜在安全威胁,助力攻击早期介入。
  • 网络优化:在保障安全的前提下,优化网络架构与流量调度,提升网络运行效率与业务连续性。
  • 安全运营:提供常态化安全运维、事件响应、漏洞管理等服务,帮助企业建立可持续的安全运营能力,以持续应对新型威胁。
  • 身份安全:借助多因素认证、身份治理、访问控制等技术,筑牢身份入口防线,防范暴力破解、账号盗用等风险。
  • 工控安全:针对工业控制系统与设备构建专属防护体系,抵御针对生产环境的攻击,保障关键基础设施稳定运行。
  • 零信任:以零信任原则为核心,提供从策略制定、保护面识别、访问控制策略设计,到持续监控与调优的全生命周期服务,帮助企业将零信任理念切实融入整体安全架构,而非停留在单一产品堆砌层面。

更多产品、技术服务、合规、培训咨询请联系:[email protected]

部分文章来源:Bleeping

本文选材/撰写/翻译/校对/排版:小铭团队C

二次校对:小铭团队L


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:观初科技 小铭团队 – C 小铭团队 – C《“登录”后的风险?——ATO攻击的防御断层》

评论:0   参与:  0