網絡安全方案供應商 Sophos 最新發表《 2026 年活躍黑客報告》揭示,高達 67% 企業安全事件並非源於技術漏洞,而是黑客入侵員工身份。報告分析 2024 年 11 月至 2025 年 10 月期間 661 宗真實入侵事件。涵蓋 70 個國家及 34 個行業。數據點出一個潛伏企業界多年的根本危機。現時攻擊者根本毋須破解系統,只需盜用帳戶密碼,便能以合法員工身份順理成章登入企業網絡。本文將探討三個影響業務決策的重要面向:為何傳統防禦投資逐漸失效、攻擊者如何利用管理層監控盲點,以及企業領導人應優先採取的防禦行動。
花錢買防火牆 卻因密碼洩露而失守
《2026 年 Sophos 活躍黑客報告》最令管理層警覺是,入侵事件根本原因已由技術漏洞變成員工帳戶被盜。報告顯示 67.32% 案例源於遭竊憑證、暴力破解及釣魚攻擊等身份入侵手法。單一憑證被盜類別已佔所有根本原因 42.06%。值得留意是傳統漏洞利用(16.04%)與純密碼暴力破解(15.58%)比例相若。這意味黑客根本毋須花時間尋找系統缺口。他們只需嘗試已洩露密碼組合,便能以合法用戶身份潛入企業網絡。
這種轉變反映出企業管理決策存在缺口。高達 59.46% 事件案例顯示企業沒有部署多重驗證(MFA),或 MFA 設定存在漏洞。MFA 是目前成本效益最高防護措施。不過超過半數企業仍未妥善實行。部分企業管理層甚至因為嫌麻煩而拒絕啟用 MFA。釣魚攻擊發生率在 2025 年更較 2024 年增倍。數字由 2.13% 飆升至 5.86%,顯示攻擊者正加強針對身份入侵。
Sophos Field CTO John Shier 明確指出,暴力破解攻擊、釣魚及其他憑證被盜等身份相關根本原因,已成為黑客成功入侵主流方式。黑客正利用無法單靠修補程式解決的弱點。管理層必須重新檢視過去側重網絡邊界安全投資策略。保護員工帳戶已成為同等重要優先事項。
攻擊者比 IT 部門更了解你的辦公時間
攻擊者除了改變入侵手法,也精準計算出企業最脆弱時間。88.10% 勒索軟件攻擊發生於下班後、週末或公眾假期。78.85% 數據外洩行動同樣選在非辦公時間執行。星期三及星期四更出現輕微高峰。這絕對不是巧合。攻擊者特意針對企業監控資源最薄弱時段落手。若企業只依賴正常辦公時間維持安全營運,意味超過八成重大攻擊都在無人當值時發生。
攻擊速度同樣是極大風險。黑客一旦進入企業網絡,攻陷 Active Directory 速度較去年加快 70%。他們平均只需 3.40 小時便可騎劫管理所有員工帳戶和系統權限核心伺服器。這速度比大部分企業 IT 團隊發現並啟動應變程式時間還要快。數據外洩從開始至完成平均需時 78.83 小時。系統卻往往在偵測前 1.87 小時才觸發警報。這代表絕大部分竊取動作在警報響起前已經完成。
安全日誌缺失進一步削弱事後追查能力。防火牆裝置日誌預設保留期僅為七天。部分裝置保留期更短至 24 小時。日誌缺失導致調查受阻情況較去年增加一倍。企業發現被入侵時,往往無法還原攻擊過程。管理層既無法判斷損失範圍,亦難以向監管機構或客戶詳細交代。報告亦指出涉及攻擊終止支援系統數量較去年增加三倍。這顯示企業清理基礎技術債務步伐仍然嚴重滯後。
勒索軟件市場碎片化,風險反而更難管理
執法機構持續打擊知名勒索軟件組織。企業面臨整體威脅卻未見減少,反而因新競爭者湧入變得更複雜。報告錄得 51 個活躍勒索軟件品牌。當中 24 個為新興組織,創下歷年新高。Akira(Gold Sahara)和 Qilin(Gold Feather)目前最為活躍。Akira 以 22.58% 事件佔比遙遙領先,差不多是排名第二 Qilin(11.06%)兩倍。Akira、Qilin、SafePay、Inc 及 Play 五大主流勒索軟件品牌合共佔整體事件 51%。
自 2020 年以來,僅有 LockBit、Medusa 及 Phobos 三個品牌持續活躍至今。黑客亦會濫用 BitLocker 原生加密手法犯案。LockBit 雖因執法行動而元氣大傷。新興組織卻迅速填補其市場空間,令追蹤和歸因工作難度倍增。數據外洩攻擊比例創下自 2021 年報告發表以來最高點,達到 12.71%。部分攻擊者即使勒索失敗,仍會在 19.5 天內公開外洩竊取數據。這代表傳統備份還原應對策略已不合時宜。數據機密保護已成為防禦勒索軟件新戰線。
AI 的威脅被高估 基礎管理才是當務之急
外界普遍擔憂 AI 將徹底顛覆網絡攻擊。Sophos 在 2025 年調查期間,卻僅記錄到一宗確認使用生成式 AI 攻擊案例。該案涉及一段經社交媒體發送深偽影片。受害者即時向安全營運中心舉報,最終未有造成損失。AI 確實令釣魚郵件更難辨別。文字與圖像生成技術結合亦令品牌仿冒變得輕而易舉。不過目前攻擊者依然倚重傳統手法,而非依賴 AI 驅動新型攻擊。
報告明確指出生成式 AI 終有一日能進行全自主攻擊。目前技術仍未到達該階段。短期內攻擊者重點仍是提升速度和規模,並降低攻擊門檻。這判斷應直接影響安全預算優先次序。企業盲目追逐 AI 防禦工具之前,更應先檢視自身帳戶管理和監控基礎是否穩固。值得留意是黑客工具 Impacket 使用量較 2024 年大幅上升 83.08%。由於該工具依賴 Python 運行,對非開發環境企業而言,在工作站封鎖 Python 執行已可有效阻截這類攻擊。
管理層應優先採取五項行動
面對身份攻擊主導新威脅格局,Sophos 報告研究結果建議企業採取以下五項關鍵行動:
- 強制推行多重驗證並嚴格設定:優先針對高權限帳戶及遠端存取系統,並採用抗釣魚型 MFA(如 FIDO 標準)。59.46% 事件案例源於 MFA 缺失或設定錯誤。這是最容易補救缺口。
- 建立全天候監控覆蓋:考慮委託託管式偵測與回應(MDR)服務。此舉可填補 88.10% 攻擊針對非辦公時間盲點,防範攻擊者趁企業員工下班後落手。
- 帳戶安全納入供應商管理:要求第三方合作夥伴符合相同身份安全標準,降低黑客透過可信關係入侵風險。
- 建立安全事件紀錄保留政策:規定關鍵系統及防火牆日誌至少保留 30 天以上。確保事件發生後有據可查,並滿足監管合規要求。
- 清理終止支援系統技術債務:涉及攻擊終止支援系統數量較去年增加三倍。企業應盡快淘汰或隔離這些系統,顯著降低被入侵風險。
- 身份攻擊持續升溫,帶出一個深層管理課題。當黑客只需 3.40 小時,便能透過被盜帳戶全面騎劫企業核心系統,網絡安全再不是單純 IT 部門技術問題。這已演變成需要管理層直接問責業務風險。企業董事會和行政總裁,到底有沒有為這場專在非辦公時間發生攻擊做好準備?
資料來源:Sophos Active Adversary Report 2026 | Sophos Press Release | Help Net Security | Express Computer | RSA ID IQ Report
