文章总结: 本文以韩国KT非法Femto事件为例,指出护网防守中攻击者利用遗失设备的合法证书绕过认证,导致用户信息泄露和财产损失。文章强调传统边界防御仅验证证书有效性,而忽略身份与实体的绑定,建议通过交叉比对过期身份、升级信任模型来加强安全。 综合评分: 87 文章分类: 实战经验,安全建设,网络安全,数据安全,安全运营
hvv 2026 – 如果攻击者拿着合法证书进来,你的边界还能守住吗?
原创
messfree messfree
MessFreeSecurity
2026年7月10日 23:19 美国
在小说阅读器读本章
去阅读
2026 年护网季已经陆续开始了。
福建”闽盾-2026″覆盖了电信、能源等近 500 家单位,上海今年首次加入了 AI 攻击队和工控场景,广州黄埔搞的是”双盲、实网”模式。各地打法不太一样,但防守方的动作出奇一致——关端口、修漏洞、封 IP、收敛权限、盯大屏。
这套动作没错。边界收紧了,攻击者的入口就少了。
但有一个问题,我问过很多防守负责人,大部分人要先愣一下。
如果你的防火墙、认证系统、SOC 大屏全部显示正常——证书有效、认证成功、没有爆破、没有伪造身份——攻击者有没有可能已经在里面了?
韩国 KT 去年出了一件事。答案非常不舒服。
一台遗失五年的设备,拿着真证书回来了
2019 年,韩国电信运营商 KT 在某个军事基地部署了一台 Femto 基站。Femto 本质上是一个小型蜂窝接入点,用来增强室内信号覆盖。它需要接入运营商核心网,所以每一台合法 Femto 都带着运营商签发的设备证书和私钥。
2020 年,这台设备在搬迁过程中遗失了。
证书没吊销。私钥没作废。认证服务器上的设备身份条目还在。
攻击者把这套身份材料——证书、私钥、认证服务器地址——完整复制到了一台非法 Femto 上。然后把这台非法设备接入了 KT 的网络。
认证系统看到的:证书有效,签名匹配,设备 ID 在已授权清单里。通过。欢迎接入。
攻击者接下来做的事非常简单。他用这台非法 Femto 发射了比周边合法基站更强的信号。附近的手机自动连了上来。一旦连接建立,Femto 就能获取用户的 IMSI、IMEI 等标识信息,在某些配置下还能截获部分通信内容。
这些信息配合从其他渠道拿到的个人数据,被用来实施小额支付盗刷。
最终结果:22,227 名用户的标识信息暴露,368 人遭遇非法支付,损失约 2.43 亿韩元。
从头到尾,没有密码爆破,没有证书伪造,没有认证失败。攻击者拿着的是一份真实有效的身份。认证系统每一次都说”通过”。
发生在护网现场,蓝队会看到什么
假如这件事发生在今年的护网里。你是防守方。你盯着 SIEM 大屏,看着日志一条条过。
攻击者接入的那一刻,你看到的不是什么奇怪的流量、不是扫描行为、不是漏洞利用。
你看到的是:
| 你看到的 | 实际情况 | | — | — | | 证书有效,签发机构可信 | 证书是从遗失设备上复制出来的 | | 认证成功,无异常登录失败 | 接入的是攻击者控制的非法硬件 | | 设备标识在授权清单里 | 原设备五年前就丢了 | | 流量来自一个合法网元 | 这个网元正在截获用户信息 | | 没有爆破、没有伪造、没有提权 | 攻击者继承了合法设备的全部权限 |
如果你只看”有没有人非法进入网络”,你不会发现这个人。因为从认证日志上看,他不是非法进入的。他是被系统认证为合法设备之后,走进来的。
传统边界防御擅长阻止”没有权限的人”。但它不擅长识别”拿着真实权限的错误主体”。
护网里最难处理的不是明显的攻击。是这种行为和身份的错位。攻击不异常,身份与现实之间的矛盾才是异常。
真正失效的不是证书,是信任模型
事后复盘,表面上有一堆技术问题:证书有效期长达十年;多台设备共享同一张制造商证书;认证没有绑定硬件序列号、物理位置和接入线路;设备遗失了五年,数字身份没有同步失效。
但如果只停在这里,整改方案大概率就是”缩短证书有效期、吊销遗失设备证书”。
不够。
真正的问题在更深的地方。KT 的认证系统在设计上验证的是:
对方是否持有有效证书。
但企业真正需要验证的是:
对方是不是那台经过批准、处于正确地点、仍在合法服役的真实设备。
证书只能证明”你拿着什么”,不能单独证明”你究竟是谁”。 这是两件事。大多数认证系统只做了第一件,默认第二件已经被第一件覆盖了。KT 的案例告诉你,没覆盖。
护网的防守逻辑也有类似的惯性。很多单位的”身份安全”就是检查密码对不对、MFA 过没过、证书有没有过期。查完这些就放行了。然后接下来的所有权限——访问内网、访问代码仓库、访问生产数据库——都由这个”认证通过”的结论来背书。
一旦认证环节有一个已遗失、未吊销的旧身份被重新激活,后续所有安全控制都在为一个错误的前提工作。
用 CSF 2.0 复盘:六个能力,环环都出了问题
NIST CSF 2.0 的六个核心功能——Govern、Identify、Protect、Detect、Respond、Recover——不是六个独立的安全产品。它们是六个互相依赖的安全治理能力。KT 这件事用 CSF 2.0 来复盘,你会看到不是某一个环节失灵了,是六个环节之间有裂缝。
Govern(治理):谁该为”合法身份”的定义负责? 谁批准的十年证书有效期?谁接受了多台设备共享同一身份?设备、网络、供应商、安全——四个部门各自为政,没有一个角色对”网元身份的完整生命周期”负最终责任。
Identify(识别):识别了设备,没识别信任关系。 KT 的资产清单里有这台 Femto 的记录。有设备型号,有部署位置,有证书序列号。但没有人把”设备已遗失”这件事和”数字身份仍然有效”这件事关联起来。物理世界的状态变了,数字世界的权限没跟着变。
Protect(保护):控制措施在运行,但目标错了。 证书认证这道门每时每刻都在检查”证书对不对”。但它的设计目标从一开始就没有包含”设备是不是还在我们手里”这个问题。你保护了一个你从来没有定义过的目标。
Detect(检测):应该检测的不是”认证失败”,而是”认证成功但环境矛盾”。 已遗失五年的设备突然在另一个城市上线;相同证书出现在两条不同的接入链路上;设备声称的位置和网络侧探测到的位置不一致——这些信号,任何一个单独看都不是”攻击特征”,但组合在一起,是”这个身份有问题”。
Respond(响应):不能只封一个 IP。 面对这种事件,响应动作至少要覆盖:非法设备隔离、证书吊销、受影响用户通知、支付欺诈阻断、供应链溯源、以及监管报告。KT 的响应显然没有同时做到这些。
Recover(恢复):不是恢复到事故前。 如果你把这台非法设备踢下线,然后继续用原来的证书体系、原来的信任规则运行——下一次又有一台遗失设备被激活,你照样看不见。真正需要恢复的,不是那台设备的状态,是企业对所有在线网元身份的可信度。
CSF 2.0 的价值不在于它给你一个”安全产品采购清单”。在于它让你看到——一个身份从创建、使用、变更、遗失到失效,需要六个能力环环相扣。哪一个环断了,身份就可能在新的主体手上继续生效。
护网思维该升级了:从”封堵攻击”到”验证信任”
说回今年的护网。
现在你面前有两件事要做。第一件,继续把边界收好——端口、漏洞、权限、告警。这些必须要做。
第二件,去验证你们的信任模型还在不在。
怎么验证?问几个问题:
- 离职员工的账号是不是还在域控里?
- 退役服务器上的证书吊销了没有?
- 外包项目结束后,VPN 账号和密钥回收了吗?
- 云主机扩容之后,旧镜像里的 SSH key 删干净了吗?
- 报废的工业网关、物联网设备、自助终端,硬件扔了,身份信息卸了没有?
这些问题的共同结构是:
真实凭据 + 错误主体 + 缺乏环境校验 = 合法身份被攻击者继承
不是运营商才有这种问题。金融、能源、政企、互联网——只要你的业务依赖”设备身份”或”用户身份”来授权,这个结构就可能在你的网络里出现。
今年护网,如果你只能给”身份面”做一件事,我的建议是:把过去三年所有发生过变更的身份——人员离职、设备报废、项目结项、供应商更换——拉出来,跟当前仍然有效的账号、证书、密钥、权限做一次交叉比对。 看看有多少身份”人走了,钥匙还在”。
2026 年护网,最危险的攻击者未必是没有身份的人。
他可能拿着你亲自签发、却早就该失效的身份,从你的认证系统面前走过。系统对他说的不是”拒绝”,而是”欢迎回来”。
真正成熟的防守,不是把攻击者挡在门外。
是发现门禁已经把错误的人当成了自己人。
素材来源:韩国 KT 非法 Femto 事件公开报道、NIST CSF 2.0 框架。结合护网防守经验整理。
🔚 点个「在看」,或者转发给你们管身份和证书的同事。让他查一下,有多少离职员工的账号还在域控里活着。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:MessFreeSecurity messfree messfree《hvv 2026 – 如果攻击者拿着合法证书进来,你的边界还能守住吗?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论