hvv2026–如果攻击者拿着合法证书进来,你的边界还能守住吗?

admin 2026-07-14 04:59:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文以韩国KT非法Femto事件为例,指出护网防守中攻击者利用遗失设备的合法证书绕过认证,导致用户信息泄露和财产损失。文章强调传统边界防御仅验证证书有效性,而忽略身份与实体的绑定,建议通过交叉比对过期身份、升级信任模型来加强安全。 综合评分: 87 文章分类: 实战经验,安全建设,网络安全,数据安全,安全运营


cover_image

hvv 2026 – 如果攻击者拿着合法证书进来,你的边界还能守住吗?

原创

messfree messfree

MessFreeSecurity

2026年7月10日 23:19 美国

在小说阅读器读本章

去阅读

2026 年护网季已经陆续开始了。

福建”闽盾-2026″覆盖了电信、能源等近 500 家单位,上海今年首次加入了 AI 攻击队和工控场景,广州黄埔搞的是”双盲、实网”模式。各地打法不太一样,但防守方的动作出奇一致——关端口、修漏洞、封 IP、收敛权限、盯大屏。

这套动作没错。边界收紧了,攻击者的入口就少了。

但有一个问题,我问过很多防守负责人,大部分人要先愣一下。

如果你的防火墙、认证系统、SOC 大屏全部显示正常——证书有效、认证成功、没有爆破、没有伪造身份——攻击者有没有可能已经在里面了?

韩国 KT 去年出了一件事。答案非常不舒服。


一台遗失五年的设备,拿着真证书回来了

2019 年,韩国电信运营商 KT 在某个军事基地部署了一台 Femto 基站。Femto 本质上是一个小型蜂窝接入点,用来增强室内信号覆盖。它需要接入运营商核心网,所以每一台合法 Femto 都带着运营商签发的设备证书和私钥。

2020 年,这台设备在搬迁过程中遗失了。

证书没吊销。私钥没作废。认证服务器上的设备身份条目还在。

攻击者把这套身份材料——证书、私钥、认证服务器地址——完整复制到了一台非法 Femto 上。然后把这台非法设备接入了 KT 的网络。

认证系统看到的:证书有效,签名匹配,设备 ID 在已授权清单里。通过。欢迎接入。

攻击者接下来做的事非常简单。他用这台非法 Femto 发射了比周边合法基站更强的信号。附近的手机自动连了上来。一旦连接建立,Femto 就能获取用户的 IMSI、IMEI 等标识信息,在某些配置下还能截获部分通信内容。

这些信息配合从其他渠道拿到的个人数据,被用来实施小额支付盗刷。

最终结果:22,227 名用户的标识信息暴露,368 人遭遇非法支付,损失约 2.43 亿韩元。

从头到尾,没有密码爆破,没有证书伪造,没有认证失败。攻击者拿着的是一份真实有效的身份。认证系统每一次都说”通过”。


发生在护网现场,蓝队会看到什么

假如这件事发生在今年的护网里。你是防守方。你盯着 SIEM 大屏,看着日志一条条过。

攻击者接入的那一刻,你看到的不是什么奇怪的流量、不是扫描行为、不是漏洞利用。

你看到的是:

| 你看到的 | 实际情况 | | — | — | | 证书有效,签发机构可信 | 证书是从遗失设备上复制出来的 | | 认证成功,无异常登录失败 | 接入的是攻击者控制的非法硬件 | | 设备标识在授权清单里 | 原设备五年前就丢了 | | 流量来自一个合法网元 | 这个网元正在截获用户信息 | | 没有爆破、没有伪造、没有提权 | 攻击者继承了合法设备的全部权限 |

如果你只看”有没有人非法进入网络”,你不会发现这个人。因为从认证日志上看,他不是非法进入的。他是被系统认证为合法设备之后,走进来的。

传统边界防御擅长阻止”没有权限的人”。但它不擅长识别”拿着真实权限的错误主体”。

护网里最难处理的不是明显的攻击。是这种行为和身份的错位。攻击不异常,身份与现实之间的矛盾才是异常。


真正失效的不是证书,是信任模型

事后复盘,表面上有一堆技术问题:证书有效期长达十年;多台设备共享同一张制造商证书;认证没有绑定硬件序列号、物理位置和接入线路;设备遗失了五年,数字身份没有同步失效。

但如果只停在这里,整改方案大概率就是”缩短证书有效期、吊销遗失设备证书”。

不够。

真正的问题在更深的地方。KT 的认证系统在设计上验证的是:

对方是否持有有效证书。

但企业真正需要验证的是:

对方是不是那台经过批准、处于正确地点、仍在合法服役的真实设备。

证书只能证明”你拿着什么”,不能单独证明”你究竟是谁”。 这是两件事。大多数认证系统只做了第一件,默认第二件已经被第一件覆盖了。KT 的案例告诉你,没覆盖。

护网的防守逻辑也有类似的惯性。很多单位的”身份安全”就是检查密码对不对、MFA 过没过、证书有没有过期。查完这些就放行了。然后接下来的所有权限——访问内网、访问代码仓库、访问生产数据库——都由这个”认证通过”的结论来背书。

一旦认证环节有一个已遗失、未吊销的旧身份被重新激活,后续所有安全控制都在为一个错误的前提工作。


用 CSF 2.0 复盘:六个能力,环环都出了问题

NIST CSF 2.0 的六个核心功能——Govern、Identify、Protect、Detect、Respond、Recover——不是六个独立的安全产品。它们是六个互相依赖的安全治理能力。KT 这件事用 CSF 2.0 来复盘,你会看到不是某一个环节失灵了,是六个环节之间有裂缝。

Govern(治理):谁该为”合法身份”的定义负责? 谁批准的十年证书有效期?谁接受了多台设备共享同一身份?设备、网络、供应商、安全——四个部门各自为政,没有一个角色对”网元身份的完整生命周期”负最终责任。

Identify(识别):识别了设备,没识别信任关系。 KT 的资产清单里有这台 Femto 的记录。有设备型号,有部署位置,有证书序列号。但没有人把”设备已遗失”这件事和”数字身份仍然有效”这件事关联起来。物理世界的状态变了,数字世界的权限没跟着变。

Protect(保护):控制措施在运行,但目标错了。 证书认证这道门每时每刻都在检查”证书对不对”。但它的设计目标从一开始就没有包含”设备是不是还在我们手里”这个问题。你保护了一个你从来没有定义过的目标。

Detect(检测):应该检测的不是”认证失败”,而是”认证成功但环境矛盾”。 已遗失五年的设备突然在另一个城市上线;相同证书出现在两条不同的接入链路上;设备声称的位置和网络侧探测到的位置不一致——这些信号,任何一个单独看都不是”攻击特征”,但组合在一起,是”这个身份有问题”。

Respond(响应):不能只封一个 IP。 面对这种事件,响应动作至少要覆盖:非法设备隔离、证书吊销、受影响用户通知、支付欺诈阻断、供应链溯源、以及监管报告。KT 的响应显然没有同时做到这些。

Recover(恢复):不是恢复到事故前。 如果你把这台非法设备踢下线,然后继续用原来的证书体系、原来的信任规则运行——下一次又有一台遗失设备被激活,你照样看不见。真正需要恢复的,不是那台设备的状态,是企业对所有在线网元身份的可信度

CSF 2.0 的价值不在于它给你一个”安全产品采购清单”。在于它让你看到——一个身份从创建、使用、变更、遗失到失效,需要六个能力环环相扣。哪一个环断了,身份就可能在新的主体手上继续生效。


护网思维该升级了:从”封堵攻击”到”验证信任”

说回今年的护网。

现在你面前有两件事要做。第一件,继续把边界收好——端口、漏洞、权限、告警。这些必须要做。

第二件,去验证你们的信任模型还在不在。

怎么验证?问几个问题:

  • 离职员工的账号是不是还在域控里?
  • 退役服务器上的证书吊销了没有?
  • 外包项目结束后,VPN 账号和密钥回收了吗?
  • 云主机扩容之后,旧镜像里的 SSH key 删干净了吗?
  • 报废的工业网关、物联网设备、自助终端,硬件扔了,身份信息卸了没有?

这些问题的共同结构是:

真实凭据 + 错误主体 + 缺乏环境校验 = 合法身份被攻击者继承

不是运营商才有这种问题。金融、能源、政企、互联网——只要你的业务依赖”设备身份”或”用户身份”来授权,这个结构就可能在你的网络里出现。

今年护网,如果你只能给”身份面”做一件事,我的建议是:把过去三年所有发生过变更的身份——人员离职、设备报废、项目结项、供应商更换——拉出来,跟当前仍然有效的账号、证书、密钥、权限做一次交叉比对。 看看有多少身份”人走了,钥匙还在”。


2026 年护网,最危险的攻击者未必是没有身份的人。

他可能拿着你亲自签发、却早就该失效的身份,从你的认证系统面前走过。系统对他说的不是”拒绝”,而是”欢迎回来”。

真正成熟的防守,不是把攻击者挡在门外。

是发现门禁已经把错误的人当成了自己人。


素材来源:韩国 KT 非法 Femto 事件公开报道、NIST CSF 2.0 框架。结合护网防守经验整理。

🔚 点个「在看」,或者转发给你们管身份和证书的同事。让他查一下,有多少离职员工的账号还在域控里活着。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:MessFreeSecurity messfree messfree《hvv 2026 – 如果攻击者拿着合法证书进来,你的边界还能守住吗?》

评论:0   参与:  0