根据Verizon发布的《2025数据泄露调查报告》（DBIR），被盗凭证是去年30%以上数据泄露事件的根本原因。攻击者入侵了超过2300万个未受管控、由用户控制的设备——包括用于远程办公的个人笔记本电脑和家庭系统——以获取登录信息，往往通过劫持会话Cookie绕过多因素认证（MFA）和其他访问控制机制。

　　“凭证不会凭空出现——你要么钓鱼获取、暴力破解，要么通过恶意软件窃取。”Verizon首席数据科学家、2025 DBIR联合作者Philippe Langlois在2025年RSA大会（RSAC 2025）上表示。

　　这些数据并非异常，而是企业网络安全深层失败的征兆。Langlois指出，如今攻击者越来越少依赖技术漏洞（如软件缺陷），而是更倾向于通过凭证直接登录，从而将身份系统变成“入侵的入口”。

　　英国法律援助署（Legal Aid Agency）最近遭遇的一次入侵事件正说明了缺乏强会话控制、终端监管和多因素认证的身份系统的风险。攻击者利用被盗凭证访问内部系统，并窃取了数百万份敏感法律与财务记录，导致服务中断并触发紧急关停。类似的以身份为主导的攻击还波及了玛莎百货（Marks and Spencer）、Coinbase、Snowflake和23andMe等企业，显示出问题的广泛性和顽固性。

　　“我们一次又一次看到——攻击者使用凭证就能大摇大摆地进入。”Langlois说，“网络没有失败，登录失败了。”

　　尽管“零信任架构”（Zero Trust Architecture）在过去十多年中投入了大量资金——其核心理念是：默认不信任任何人或任何设备，无论其是否位于网络内部——但攻击者依然可以通过冒充合法用户来轻松渗透，而非靠技术漏洞入侵。

　　信任破坏者

　　“零信任”理念是基于一个简单原则：未经验证，不信任任何人或任何事物。它假设攻击者可能已经在系统内部，因此每一次访问都必须经过严格验证。

　　然而，有专家认为，“零信任模型”已经被行业误用甚至“用旧了”。YL Ventures合伙人、前Akamai首席安全官Andy Ellis指出，零信任架构并未跟上现代威胁和用户行为的发展。

　　他批评说，当前做法过度依赖复杂终端软件，容易在系统中引入脆弱性，并通过“全时监控”代替了“强韧设计”，看似消除隐性信任，实则只是把信任转移到了其他同样脆弱的位置。

　　RSAC 2025上的多位专家也警告称，网络安全行业对身份管理的现状过于自信。那些本应减少信任的策略（如限制横向移动、分段网络、持续认证）反而可能在软件代理或不安全的终端设备上集中风险。

　　举个例子：信息窃取恶意软件常从“未受管设备”中抓取会话令牌，让攻击者直接绕过MFA。一旦入侵成功，他们就利用高权限的终端软件，在内部横向移动，将本用于监控的工具转为攻击手段。

　　与此同时，来自YL Ventures、Verizon、CrowdStrike、微软和FBI的安全领袖一致认为：当前的身份防御机制既脆弱、又轻信，且越来越无法理解攻击者的真正操作方式。

　　为何脆弱？过度依赖边界防火墙、会话监控薄弱、身份治理不力（比如员工离职后“僵尸账户”仍然存在）。

　　CrowdStrike对抗对手作战高级副总裁Adam Meyers在RSAC论坛上表示：“身份，仍是攻击者最集中的突破口。攻击者都在追求更简单、更快捷的路径，而身份系统正是他们的首选目标。”

　　这个观点与Ellis的担忧不谋而合：身份安全与用户行为密不可分，控制措施必须考虑人的复杂性。

　　“几乎所有主要的勒索软件攻击，最终都是由终端设备上的软件促成的。”Ellis说，“我们让终端‘信任’了我们自己，而这就是我们出错的地方。”

　　在主题演讲《Zero Trust 应该走向何方？》中，Ellis指出，网络安全行业从一开始就误解了“零信任”的本质。“我们本该移除终端的信任，而不是让终端去信任更多的软件。”

　　他列举了多个著名入侵案例（如SolarWinds、Kaseya等），指出攻击者利用终端管理工具进行横向移动或数据外泄，而行业的应对措施却是增加监控，而非减少风险。

　　他批评零信任中的“持续监控”和“假设已入侵”等原则，已演变成过度干预、形式主义。“理论上持续监控听起来很好，但若这意味着每台设备上都安装拥有管理员权限的代理程序，那就是在扩大攻击面，而非缩小。”

　　Ellis也反对将员工视为默认的对手。他认为这会破坏信任，鼓励“影子IT”泛滥。“系统应该假设攻击可能发生，但不能牺牲协作与可用性。太刚性的控制会促使用户绕开规则，从而带来更大风险。”

　　为失败而构建

　　Ellis的观点获得了部分专家的支持。他们认为现代数字基础设施过于追求速度和规模，牺牲了系统韧性。安全与技术研究所（Institute for Security and Technology）首席信任官Steve Kelly在RSAC上表示：“在土木工程中，我们设计的是一个可以容错的系统。但在网络安全中，一次点击钓鱼邮件就可能摧毁整个组织。”

　　Paladin全球研究院主席、前美国国家网络安全代理主管Kemba Walden补充说：“网络安全风险仍然由资源最少的一方承担。”这些人包括：使用未受管设备的零工、运行老旧系统的小诊所、预算紧张的学区等。

　　“我们已无法将人和他们的设备分开了，”Ellis说，“大多数人都像‘半机械人’，同时绑定着两个甚至三个数字身份。我们构建的系统正是利用这种关系，而不是保护它。”

　　“零信任”仍有未来

　　尽管Ellis对“零信任”提出严厉批评，但包括Steve Kelly、Kemba Walden和微软安全主管Kelly Bissell在内的RSAC讲者仍为其核心原则辩护，呼吁改革而非废弃。

　　“零信任仍然必要——但必须往‘上游’走。”Bissell表示。他提到，微软通过部署抗钓鱼MFA、强DNS过滤，在用户接触恶意内容前就成功阻断了攻击。

　　他还分享了微软内部在敏感操作期间实施强制身份重新验证的实践，有效识别并撤销了受损凭证。

　　其他措施包括：全公司推行Passkey（无密码认证）、DNS拦截仿冒域名、在高风险工作流中强制身份重验证等。

　　Walden强调：“我们要从基础设施设计层面去改变，不能再将安全责任一味压在终端用户身上。”

　　即便是Kelly，他将数字系统比喻为“没有护栏的高速公路”，也没有否定“零信任”的价值。他主张将“信任”分布到多个维度——如域名系统、设备健康、金融交易、人员招聘等，从而不再依赖单一防线。

　　这些声音共同描绘出：下一代“零信任”，将以基础设施级韧性和多方责任共担为核心，而非单纯的边界控制。

　　他们举例说明，如微软生态系统中推行的抗钓鱼MFA、域名封禁、API密钥吊销、虚假账号封停等机制，以及像**Global Signal Exchange（全球信号交换框架）**这样的实时威胁情报共享机制，正发挥积极作用。

　　Walden还提到，像爱沙尼亚和比利时这样的国家数字身份体系是构建身份信任的良好范式。其优势是：认证可靠且用户友好；但也面临隐私争议、厂商锁定和制度差异等挑战。

　　身份安全，未来何在？

　　尽管对“零信任”的看法不一，但所有与会者都认同：身份将继续是攻击与防御的核心。

　　无论是通过基础设施重构、更精细的访问控制，还是智能化的身份验证策略，未来的网络安全进展将依赖政府、企业和用户三方协同。

　　包括Passkey、硬件身份令牌、实时风险评分、AI驱动的异常检测等新技术，被视为能在不增加用户负担的前提下增强身份防御的关键工具。

　　Walden总结道：“我们也许永远无法彻底消除风险，但我们可以设计出即使出错也能保护人的系统。”

　　在一个被数据泄露、技术倦怠和高级攻击者主导的年份，这或许正是最清晰的前进方向。