在最近的炉边谈话中,我们花了45分钟讨论一个几乎在所有组织中都显而易见的安全性漏洞:员工实际如何连接到办公室WiFi。简而言之?大多数公司仍在依赖那些本来就不是很安全的模式,而AI已经悄然将一个低优先级的风险变成了迫在眉睫的威胁。
以下是我们讨论的内容,以及为什么它对您的网络至关重要。
几乎所有人都有的共同问题
归根结底,大多数组织连接员工到WiFi的方式都是一样的。正如Andy Dancer在会议期间所说,这通常“归结为一个共享密码”。通常,该共享的员工密码与访客访问存在于同一个网络上,只是凭据不同。这很方便,但也是一个系统性风险,因为单个共享密钥极易泄露、被猜出或被盗。
长期以来,由于缺乏重大安全事件,这听起来像是一个理论上的问题。而事实更简单:攻击者总是选择最容易的路径,直到最近,其他地方还有更容易下手的目标。但现在的形势正在发生变化。
AI改变了什么
AI全面降低了WiFi攻击的门槛。网络钓鱼和凭据窃取现在变得更加个性化、更具可扩展性且更难检测。密码破解速度更快,工具可以大批量生成合理的密码猜测。这些都不需要攻击者具备高超的技术,他们只需要拥有和大家一样的工具即可。
一个值得深思的观点是:攻击者通常不需要进入您的网络内部。停车场、相邻建筑和定向天线可以让某人在远处获得类似于“内网”的网络接入。在我们的演示中,我们展示了如何通过广播比真实SSID信号更强的虚假WiFi信号,并配合逼真的虚假登录页面,在无人察觉的情况下窃取凭据。
为什么“在登录时增加安全防御”作用有限
人们本能地想在连接点增加更多验证。但只要人类需要输入凭据,这些凭据就可能被盗。为员工增加更多繁琐步骤并不能消除潜在的风险暴露,它只是转移了问题。
连接后还会出现第二个问题。许多安全工具默认当有人进入网络时,验证已经完成。因此,一旦攻击者通过身份验证,他们就可以在网络中移动时伪装得完全合法,特别是在员工和访客隔离较弱的情况下。
这也是为什么网络准入控制(NAC)在实践中经常令人失望的原因。正如Andy所指出的,“大约70%的NAC部署最终只能处于监控模式”,而不是主动执行策略。全面预防在操作上非常困难,而其产生的服务台工作量往往会迫使团队选择监控而不是阻断。
不同的方法:彻底移除密码
Iain Jewitt 简单地总结了这个方向:"解决方案是完全将员工排除在方程式之外。"
这就是 Purple 的员工 WiFi 方法背后的理念。访问权限与身份绑定,而不是要求员工记住并输入共享密码。您可以获得黄金标准的 WPA Enterprise 级别保护,而无需员工输入密码或代码。部署可与您现有的身份提供商同步,用户只需安装一次应用程序。
其连锁效益既体现在运营上,也体现在安全方面。由于访问权限与目录帐户绑定,因此当有人离职时,访问权限会自动被禁用。没有需要轮换的共享密钥,也没有可供攻击者进行网络钓鱼的凭据。
实际部署情况如何
听众提出了一些实际问题:
- 它会带来干扰吗? 并不明显。在迁移期间,您可以将现有设置与 Purple 并行运行,该应用程序可以连接用户,而无需手动重新配置每台设备。大多数用户只需要几天时间来安装和连接。在活动举行的一周内,一位 IT 管理员几乎立即为混合工作模式下的员工设置了安全连接。
- 它能替代 NAC 吗? 不一定。当 NAC 真正发挥强制执行作用时,它是非常有价值的。Purple 可以作为一个更简单的安全连接层,或者作为专注于您最敏感接入点的增强方案。
- 谁面临的风险最大? 金融服务和任何与资金相关的领域都是常见的早期目标,但 AI 驱动的攻击大大拓宽了攻击范围,包括会产生更广泛经济连锁反应的破坏性攻击。
核心要点
员工 WiFi 是一个不断增长的攻击面,而 AI 正使利用这一攻击面的成本更低、更容易。解决方案不是在登录界面增加更多摩擦,而是转向基于身份的无密码身份验证,在加强访问控制的同时,减轻 IT 和服务台的负担。
如果您想了解在您现有的 WiFi 硬件上实现这一方案的具体效果,请 与专家联系 。我们很乐意为您指导迁移路径。
我们在这里只是触及了皮毛。完整的炉边访谈更深入地探讨了存在的威胁、有助于解决问题的潜在部署以及现场问答。
