文/廠商新聞稿|2026-02-26發表

全球創新資安解決方案領導廠商 Sophos 今日發布《2026 年 Sophos 主動攻擊者報告》。報告指出,去年由 Sophos 事件回應 (IR) 與託管式偵測與回應 (MDR) 團隊調查的所有事件中,有 67% 源自身分相關攻擊。研究結果顯示,攻擊者持續利用遭入侵的憑證、薄弱或缺失的多因素驗證 (MFA),以及保護不足的身分系統發動攻擊——而且往往無需部署新的工具或技術即可得手。

重點發現包括:

  • 初始入侵手法出現轉變——由利用漏洞轉向使用遭竊憑證;暴力破解 (15.6%) 與漏洞利用 (16%) 幾乎並列為主要的初始存取途徑。

  • 攻擊者在受害環境中的中位停留時間縮短至三天。這一變化一方面來自攻擊者行動節奏加快,另一方面也因防禦方回應速度提升所致,尤其在 MDR 託管式偵測與回應環境中更為明顯。

  • 攻擊者接觸並掌控 Active Directory (AD) 的速度持續加快。一旦入侵組織內部,平均僅需 3.4 小時即可觸及 AD 伺服器。

  • 勒索軟體攻擊仍明顯集中於非上班時段。88% 的勒索軟體裝載是在非營業時間部署;同樣地,79% 的資料外洩行為也發生在離峰時段。

遙測資料不足削弱防禦成效。因資料保留設定問題導致的日誌缺失情況較去年倍增;此一上升主要源自防火牆設備,其預設日誌保留期僅七天,部分情況甚至僅有 24 小時。

身分攻擊加速蔓延,MFA 缺口依然存在

報告顯示,源自身分入侵的攻擊持續增加,包括遭竊憑證、暴力破解與釣魚攻擊。儘管漏洞利用仍然存在,但攻擊者愈來愈仰賴有效的帳號作為初始入侵手段,藉此繞過傳統的邊界防禦機制。此外,在 59% 的案例中,企業缺乏多因素驗證 (MFA),使遭竊或被入侵的憑證更容易被濫用,進一步滲透環境。

報告主要作者、Sophos 現場 CISO 的 John Shier 表示:「報告中最令人憂心的發現,其實已醞釀多年:初始入侵成功的根本原因以身分相關問題為主。遭竊的憑證、暴力破解、釣魚攻擊及其他手法,皆利用了無法僅靠基本修補管理就能解決的弱點。企業必須對身分安全採取更主動的策略。」

威脅組織增加,風險版圖擴大

Sophos 研究人員觀察到,本次報告期間活躍威脅組織數量創下歷史新高,使整體威脅版圖更加複雜,也提高了攻擊歸因的難度。

  • Akira (GOLD SAHARA) 與 Qilin (GOLD FEATHER) 為最活躍的勒索軟體品牌,其中 Akira 佔所有事件的 22%,居於主導地位。

  • 共觀察到 51 個勒索軟體品牌,其中 27 個為再次出現的既有品牌,另有 24 個為新興品牌。

  • 自 2020 年《主動攻擊者報告》首次蒐集數據以來,僅有四個集團或技術持續活躍至今——LockBit、MedusaLocker、Phobos,以及濫用 BitLocker 的手法。

Shier 補充表示:「執法行動持續對勒索軟體生態系統有效。儘管我們仍然看到 LockBit 的活動,但其昔日的主導地位與聲勢已明顯受到影響。不過,這也意味著更多組織正在競逐主導權,同時出現更多新興團體。對防禦方而言,了解各威脅組織及其戰術、技術與程序 (TTP),才能有效保護企業安全。」

AI 熱潮與現實落差

儘管外界普遍預測 AI 將徹底改變攻擊模式,但 Sophos 並未發現攻擊者行為出現重大、由 AI 驅動的轉型跡象。雖然生成式 AI 提升了釣魚攻擊與社交工程手法的速度與精緻度,但尚未產生根本性的全新攻擊技術。

報告主要作者、Sophos 現場 CISO 的 John Shier 表示:「AI 目前帶來的是規模與噪音的增加,而非取代攻擊者。未來生成式 AI 可能成為新的加速器,但就目前而言,基本功仍然至關重要:強化身分防護、確保可靠的遙測資料,以及在發生異常時具備迅速回應的能力。」

防禦重點建議

根據《2026 年 Sophos 主動攻擊者報告》的研究結果,Sophos 建議企業應:

  • 部署具抗釣魚能力的多因素驗證 (MFA),並確認其設定正確無誤。

  • 降低身分基礎架構與對外公開服務的曝險面。

  • 及時修補已知漏洞,特別是邊界設備上的漏洞。

  • 透過 MDR 或同等能力,確保 24 小時全年無休監控。

  • 妥善保存並保留資安日誌,以支援快速偵測與事件調查。

《2026 年 Sophos 主動攻擊者報告》分析了 661 起事件回應 (IR) 與託管式偵測與回應 (MDR) 案例,涵蓋 2024 年 11 月 1 日至 2025 年 10 月 31 日期間,橫跨 70 個國家與 34 個產業的組織。

完整報告內容可於官方網站查閱。

關於 Sophos

Sophos 是全球資安領導廠商,透過 AI 驅動的平台與專家主導的服務,為全球 60 萬家組織提供防護。Sophos 能依據企業不同的資安成熟度提供相應支援,並隨著客戶成長持續強化防禦能力,以有效對抗網路攻擊。其解決方案結合機器學習、自動化與即時威脅情報,並整合來自 Sophos X-Ops 前線專家的實務經驗,提供進階、全年無休的威脅監控、偵測與回應服務。Sophos 提供業界領先的託管式偵測與回應 (MDR) 服務,以及完整的資安技術組合——包括端點安全、網路安全、電子郵件安全與雲端安全、擴展式偵測與回應 (XDR)、身分威脅偵測與回應 (ITDR),以及新一代 SIEM。

結合專業顧問服務,這些能力協助組織主動降低風險並加快事件回應速度,同時提供因應持續演變威脅所需的可視性與可擴展性。Sophos 透過全球合作夥伴生態系推展市場,包括託管服務供應商 (MSP)、託管資安服務供應商 (MSSP)、經銷商與代理商、市場整合夥伴以及網路風險合作夥伴,使組織在強化業務安全時,能靈活選擇值得信賴的合作關係。Sophos 總部位於英國牛津。更多資訊請參閱 www.sophos.com

熱門新聞

Advertisement