🔐 为什么 90% 的攻击来自“合法账号”？

不是黑客变弱了，而是“账号本身”成了最危险的入口

一句话先给结论：
当攻击者掌握了合法账号，防火墙、WAF、ACL 几乎全部失效。
因为这些安全系统，天生就是“防外人”的。

🧠 一、核心原理

现代攻击的本质，正在从“突破系统”转向“滥用身份”。

过去我们防的是：

• • ❌ 非法 IP
• • ❌ 恶意请求
• • ❌ 漏洞利用

而现在真正危险的是：

• • ✅ 合法账号
• • ✅ 正常登录
• • ✅ 合规接口调用

👉 攻击已经“合规化、业务化、日常化”。

🏘 二、一个生活化类比：

「小偷不翻墙，而是刷卡进门」

想象一个高档小区：

• • 有门禁系统
• • 有保安
• • 有摄像头

某天，一个人：

• • 穿着物业工服
• • 拿着真门禁卡
• • 行为不慌不忙

结果是：

• • 🚪 门禁不会拦
• • 👮 保安不会问
• • 📷 摄像头只记录

因为在系统眼里：
他是“合法住户”，不是“入侵者”。

🔎 合法账号攻击 = 熟人作案

⚠️ 三、为什么攻击者越来越偏爱“合法账号”？

3.1 成本低、成功率高

对比两种攻击方式👇

攻击者只需要：

• • 🎣 钓鱼邮件
• • 🔑 弱密码
• • 📦 撞库数据
• • 😓 内部人员误操作

就能直接“合法上岗”。

3.2 一旦登录，安全设备基本“失明”

从系统视角看👇

• • 登录 ✔
• • Token 合法 ✔
• • Session 正常 ✔
• • 请求路径 ✔

系统只判断“你是谁”，
不判断“你是不是你”。

3.3 权限即破坏力，越合法越致命

很多合法账号具备：

• • 📊 数据导出权限
• • ⚙️ 配置修改权限
• • 🔌 接口调用权限

所以攻击结果往往是：

• • 数据被正常导出
• • 配置被合法修改
• • 日志显示一切正常

👉 没有报错、没有告警，但已经造成严重损失。

🖥 四、一个真实、完整的技术攻击实例

场景：后台系统“正常运行”，数据却被掏空

🔧 系统背景

• • 企业后台管理系统
• • 有防火墙、有 WAF
• • 登录态基于 Token
• • 提供「导出用户数据」功能

🎯 攻击全过程

Step 1：获取合法账号

• • 攻击者向运营人员发送钓鱼邮件
• • 员工在仿冒页面输入账号密码

🔓 账号本身没有任何异常

Step 2：正常登录后台

• • IP 正常
• • 登录时间正常
• • 登录地点合理

👉 所有风控规则全部通过

Step 3：以“业务身份”操作系统

• • 进入用户管理模块
• • 使用已有的「导出」按钮
• • 每次只导出 1000 条
• • 每小时操作 1～2 次

⚠️ 行为完全符合“日常工作节奏”

Step 4：安全系统的真实反应

• • WAF：

  “请求合法，无攻击特征”

• • 防火墙：

  “连接正常”

• • 日志系统：

  “某员工正常操作系统”

💥 最终结果

• • 数据被完整导走
• • 没有任何告警
• • 直到数据在外部出现，才发现问题

这是一次 100% 合规、0 漏洞、0 报警的攻击。

🧱 五、为什么传统安全防护挡不住？

5.1 防护能力的“盲区”

📌 一句话总结：

这些系统只关心——
“你能不能进来”，
不关心——
“你进来干了什么”。

🧩 六、真正需要防的，其实是“账号行为”

6.1 三个必须关注的核心问题

✅ ① 是不是“本人在用账号”

• • 多因素认证（MFA）
• • 异地 / 异设备登录校验

✅ ② 行为是否“符合角色”

• • 运营账号不该批量拉全量数据
• • 普通账号不该改系统配置

✅ ③ 操作是否“符合习惯”

• • 登录时间是否异常
• • 操作频率是否突变
• • 调用路径是否反常

👉 这已经是“行为安全”，而不是“网络安全”。

🧠 七、关键认知升级

账号安全 ≠ 密码安全
登录成功 ≠ 行为可信

在今天：

• • 最危险的不是“有人没权限”
• • 而是“权限被用错地方”

✨ 八、总结

今天 90% 的攻击，
不是发生在“未授权访问”，
而是发生在——
“授权身份被滥用”。

​

阅读原文：https://mp.weixin.qq.com/s/ixkOhlIyKkLRu82BCPXIPg