全球資訊保安巨頭 Mandiant 發佈最新報告,揭示令企業 IT 高管徹夜難眠關鍵數字:黑客完成初始存取後,僅需 22 秒便能將入侵成果移交下一個專責犯罪團隊,代表傳統資訊保安應變機制已從根本上失去效力。
《M-Trends 2026》報告根據 2025 年超過 50 萬小時全球事件調查彙整而成。報告除了揭示攻擊速度驚人躍升,也記錄語音網絡釣魚(Vishing)取代電郵躍升主流入侵手法、「毀滅式勒索」新策略蔓延,以及 AI 如何同時武裝攻守雙方三大核心轉變,防禦者正面臨一場從未有過系統性挑戰。
22 秒背後的犯罪供應鏈
從「初始存取」到「權限移交」中位時間,已從 2022 年逾 8 小時大幅縮短至 2025 年僅 22 秒——這數字是 M-Trends 2026 報告最震撼業界核心發現。這數字意義遠不只是速度問題,它反映網絡犯罪生態系統成熟分工:「初始存取代理人」(Initial Access Brokers)如同工廠流水線第一道工序,一旦成功入侵便以近乎即時速度,將存取憑證轉交負責勒索、竊密或破壞專責團隊。
Google Cloud Mandiant 諮詢副總裁 Jurgen Kutscher 直言:「成功入侵事件絕大多數,依然源於人為疏忽與系統性漏洞,但這些漏洞被利用速度已徹底改變防禦者應對數學。」值得注意 CrowdStrike《2026 全球威脅報告》亦獨立佐證此趨勢,記錄有史以來最快單一攻擊橫向移動時間僅 27 秒,整體平均突破時間縮短至 29 分鐘較前一年下降 65%。兩份來自不同數據來源報告,同步指向一個無法迴避現實:防禦者已幾乎沒有人工介入空間。
尤為值得警惕是入侵媒介結構性轉移。報告指出互聯網連接裝置(含 VPN、防火牆)連續第六年佔最多入侵入口,佔可識別入侵向量 32%;而語音網絡釣魚(Vishing)已一躍成為第二大初始感染媒介,整體佔比達 11%,在雲端入侵案例中更高達 23%,主要由 ShinyHunters 及 Scattered Spider 兩大犯罪組織主導——相比之下傳統電郵釣魚已大幅下滑至僅 6%。這意味企業長期倚重電郵過濾防線,已遠遠不足以應對新型社交工程攻擊威脅。
對香港企業而言這威脅並非遙不可及。香港網絡安全事故協調中心(HKCERT)今年 1 月發布《香港網絡安全展望 2026》顯示,2025 年本港錄得 15,877 宗網絡安全事故,按年上升 27% 創歷年新高,AI 應用與供應鏈風險被列為 2026 年五大主要威脅之首。
勒索軟件進化:不讓你有機會復原
M-Trends 2026 記錄一種足以令企業董事會變色新型攻擊策略——「復原否定」(Recovery Denial)。這策略核心邏輯不再是加密資料然後索取贖金,而是在加密生產系統「之前」,先系統性摧毀備份基礎設施、身份驗證服務及虛擬化管理平台,確保受害者即使拒絕付款也難以自行復原。
Mandiant 調查記錄顯示,使用 REDBIKE(Akira)及 AGENDA(Qilin)勒索軟件犯罪集團,慣常利用設定錯誤 Active Directory 憑證服務偽造管理員帳戶,繞過多重身份驗證,甚至在事故應變期間強制變更特權帳戶密碼,直接將應急團隊鎖在系統外。Kutscher 點出此轉變本質:「現代勒索攻擊已成為一個根本性韌性問題——企業面對抉擇,是付款還是從零重建。」
從應對窗口角度看,2025 年全球中位停留時間(dwell time)從 11 天升至 14 天,但這數字具有誤導性——升幅主要來自網絡間諜活動及北韓 IT 人員臥底行動長期潛伏(中位停留時間長達 122 天),並非代表企業偵測能力退步。真正難題在於發現後應對速度,能否跟上攻擊鏈僅 22 秒移交速度。
AI 攻防:武器化與防禦智能化並行
M-Trends 2026 確認一個資訊保安業界長期警惕轉捩點:黑客已從「試驗 AI」進化到「在實際攻擊中部署 AI」。報告記錄兩種具代表性惡意程式:其一是 PROMPTFLUX,一種由 Google 威脅情報小組(GTIG)於 2025 年 6 月首次發現實驗性投放程式,它透過 Gemini API 呼叫大型語言模型,每小時自動重寫自身程式碼,讓傳統以特徵碼為基礎防毒系統幾乎無從偵測;其二是 PROMPTSTEAL,由俄羅斯國家背景黑客組織 APT28(FROZENLAKE)使用,透過查詢 LLM 生成 Windows 指令進行檔案竊取,是首個在針對烏克蘭實際攻擊中,確認調用大型語言模型國家級惡意程式。
世界經濟論壇《2026 全球網絡安全展望》指出,87% 受訪機構認為 AI 相關漏洞是過去一年成長最快網絡風險。IBM 2026 X-Force 威脅指數亦顯示漏洞利用佔所有調查事故 40%,且新揭露漏洞平均被利用時間為「負 7 天」——亦即在官方修補程式發布之前,漏洞已遭大規模利用。如此局面下等待廠商修補被動防禦思路,已徹底失去生存空間。
面對此局勢 Google Cloud 在 2026 年 RSA 大會展示多項 AI 驅動防禦新方向:整合於 Google Threat Intelligence 中「暗網情報」預覽版,透過 Gemini 模型每日分析數以百萬計暗網事件準確率達 98%;Google Security Operations 推出「代理式自動化」(Agentic Automation),AI 代理能在偵測威脅時自動研判情境並即時採取行動,將防禦速度提升至與攻擊同等機器層級;以及支援遠端模型脈絡協定(MCP)伺服器,讓企業靈活整合自身系統建立特製防禦架構。同時 Google 亦同步完成以 320 億美元(約港幣 2,496 億元)收購雲端資訊保安公司 Wiz,進一步強化多雲環境防護能力。
攻擊速度超越人類應對能力時代意涵
22 秒移交速度宣告一個時代終結——依賴人工分析與逐層審批傳統資訊保安操作模式,在機器速度攻擊面前已告失效。對企業高管而言真正戰略問題已不再是「我們會不會被攻擊」,而是「當我們在 22 秒內被突破時,有多少自動化防禦能在無需人工介入前提下即時啟動?」
隨著 AI 驅動攻防生態成熟,2026 年資訊保安投資重點正加速向「自動化偵測與回應」、「身份驗證強化(尤其是防 Vishing 帶外驗證)」及「備份與復原韌性設計」三大方向集中。對香港企業尤其是金融及醫療等受監管行業而言,結合《關鍵基礎設施(電腦系統)條例》正式生效背景,將網絡安全從 IT 議題提升至董事會層面策略決策,已是無可迴避現實課題。
資料來源:cloud.google.com|complexdiscovery.com|newdecoded.com|hk.news.yahoo.com|https://www.google.com/search?q=ec.ltn.com.tw
