在我們最近的爐邊談話中,我們花了 45 分鐘探討一個幾乎隱藏在所有企業眼皮底下的安全漏洞:員工實際上是如何連接到辦公室 WiFi 的。簡而言之?大多數公司都依賴起初就不怎麼安全的模式,而 AI 已經悄悄地將一個低優先級的風險變成了迫在眉睫的危機。
以下是我們探討的內容,以及為什麼這對您的網路至關重要。
幾乎每個人都有的共同問題
拆解來看,大多數企業將員工連接到 WiFi 的方式大同小異。正如 Andy Dancer 在會議中指出的,這通常「歸結為共享密碼」。通常這個共享的員工密碼與訪客存取位於同一個網路上,只是憑證不同。這很方便,但也是一個系統性風險,因為單一共享金鑰正是那種極易洩漏、被猜測或被竊取的東西。
長期以來,由於缺乏重大事件的報導,這讓人覺得只是一個理論上的問題。現實其實更簡單:攻擊者會選擇最容易的路徑,而直到最近,其他地方還有更容易下手的目標。這種局勢正在改變。
AI 改變了什麼
AI 全面降低了 WiFi 攻擊的門檻。網路釣魚和憑證收割現在變得更加個人化、更具擴展性且更難被偵測。密碼破解速度更快,工具可以大量產生看似合理的密碼猜測。這一切都不需要攻擊者多麼高明,只需要他們擁有和大家一樣的工具即可。
一個值得深思的點:攻擊者通常不需要進入您的建築物。停車場、鄰近的建築物和定向天線都可以讓人在遠處對您的網路產生「如同內部」的存在感。在我們的演示中,我們展示了如何廣播一個比真實 SSID 更強的假 WiFi 訊號,並配上一個逼真的假登入頁面,在無人察覺的情況下收割憑證。
為什麼「在登入時加強安全」的作用有限
人們的直覺是在連接點增加更多檢查。但只要需要人類輸入憑證,這些憑證就有可能被盜。給員工增加更多不便並不能消除底層的暴露風險,只是把風險轉移了而已。
連接後還會出現第二個問題。許多安全工具假設在某人進入網路時,驗證已經完成。因此,一旦攻擊者通過驗證,他們在四處移動時看起來就完全合法,尤其是在員工和訪客隔離薄弱的地方。
這也是為什麼網路存取控制(NAC)在實踐中常常令人失望的原因。正如 Andy 所指出的,「大約 70% 的 NAC 部署最終只是處於監控模式」,而不是主動執行策略。完全防禦在營運上很困難,而且它產生的客服中心工作量往往會迫使團隊選擇監控而非阻斷。
不同的方法:完全去除密碼
Iain Jewitt 簡單地總結了這個方向:"解決方案是完全將員工排除在公式之外。"
這正是 Purple 的員工 WiFi 方法背後的思維。存取權限與身分識別綁定,而不是要求員工記住並輸入共享密碼。您可以獲得黃金標準的 WPA Enterprise 等級保護,而員工無需輸入任何密碼或代碼。部署會與您現有的身分識別提供者同步,使用者只需安裝一次應用程式。
這帶來的連帶效益不僅與安全性相關,也與營運息息相關。因為存取權限與目錄帳戶綁定,當有人離職時,權限會自動停用。沒有需要輪換的共享秘密,也沒有可供攻擊者進行網路釣魚的金鑰。
實際部署的情況
觀眾提出了幾個實用問題:
- 這會造成中斷嗎? 並不會。在遷移期間,您可以將現有的設定與 Purple 並行運作,且應用程式會自動連線使用者,無需手動重新設定每台裝置。大多數使用者只需要幾天時間即可完成安裝和連線。在活動當週,一位 IT 管理員幾乎瞬間就為混合工作模式中的員工設定好了安全連線。
- 它會取代 NAC 嗎? 不一定。當 NAC 確實發揮執行作用時,它非常有價值。Purple 可以作為一個更簡單的安全連線層,或者作為專注於您最敏感存取點的增強功能。
- 誰面臨的風險最大? 金融服務和任何與資金掛鉤的行業都是常見的早期目標,但 AI 驅動的攻擊大幅擴大了範圍,包括會產生更廣泛經濟連帶影響的中斷攻擊。
核心要點
員工 WiFi 是一個日益成長的攻擊面,而 AI 正在使漏洞利用變得更便宜、更容易。解決方案不是在登入畫面增加更多阻礙,而是轉向以身分識別為基礎的無密碼驗證,在加強存取控制的同時,減輕 IT 和服務台的負擔。
如果您想了解在您現有的 WiFi 硬體上實行此方案的具體細節,請 與我們聯絡 。我們很樂意協助您規劃遷移路徑。
我們在這裡只探討了表面。完整的爐邊對談深入探討了存在的威脅、有助於改善的潛在部署以及觀眾問答。
