Sophos報告揭示身份攻擊成主流以及威脅組織激增
[香港] — 全球網絡安全解決方案供應商Sophos今日發布《2026年Sophos活躍駭客報告》(2026 Sophos Active Adversary Report)。報告顯示,去年Sophos事件應對(Incident Response, IR)及託管式偵測與回應(Managed Detection and Response, MDR)團隊調查的所有事件中,有67%來自身份相關攻擊。研究結果顯示,駭客持續利用已被盜用的憑證、無效的多重驗證(Multi-factor Authentication, MFA),以及防護不足的身份系統,通常無需使用新工具或技術。
報告重點:
攻擊手法由利用網絡安全漏洞轉為入侵憑證。而初始入侵手段方面,暴力破解活動(15.6%)與漏洞利用(16%)比例相若
潛伏時間中位數縮短至三天,反映駭客行動節奏更快,也顯示防禦方的反應更迅速,此情況在MDR環境中尤為顯著
駭客更快速進入活動目錄(Active Directory,AD)。駭客入侵機構後,僅需3.4小時即可進入AD伺服器
勒索軟件攻擊集中於非辦公時間。88%的勒索軟件於非辦公時間發動攻擊;79%的數據外洩在非辦公時間發生
缺乏遙測數據削弱網絡安全防禦能力。因數據保留因素而導致紀錄缺失的情況較去年增加一倍。此增長主要源於防火牆設備,其預設保留期一般只有七天,部分更短至24小時
身份攻擊加劇 MFA漏洞持續存在 三分之二的安全事件源於身份相關漏
報告顯示,源於身份入侵的攻擊持續上升,包括憑證被盜、暴力破解活動及釣魚攻擊。雖然保安漏洞仍是其中一個因素,但駭客愈來愈依賴有效帳戶來獲取初始存取權限,令他們能夠繞過傳統邊界防禦。其中,59%的案例中缺乏MFA,令被竊取及入侵的憑證更容易被濫用,以滲透機構網絡。
Sophos全球資訊安全總監兼報告首席作者John Shier表示:「報告最值憂慮的發現已潛伏多年:身份相關漏洞已成為成功入侵的主因。遭入侵的憑證、暴力破解攻擊、釣魚攻擊及其他手法,都是利用無法透過簡單的修補程序解決的弱點。機構必須主動採取更全面的身份安全策略。」
威脅組織增加,風險擴大
Sophos研究人員於報告中觀察到有紀錄以來上最多的活躍威脅組織,令整體環境更危險,並增加了追查及歸因的難度。
Akira(GOLD SAHARA)和Qilin(GOLD FEATHER)是最活躍的勒索軟件,而Akira在22%的事件中為主導因素
51個勒索軟件出現於案例中,包括27個再度出現的及24個新的勒索軟件
自2020年首份活躍駭客報告數據以來,僅四個勒索軟件 — LockBit、MedusaLocker、Phobos及BitLocker 的濫用— 持續存在
Shier補充:「執法行動持續打擊勒索軟件生態系統。雖然我們仍然看到LockBit的活動,但其過去的主導地位和聲譽已明顯受到影響。這也意味著,越來越多其他組織爭奪主導地位,並出現更多新興組織。對防禦方而言,了解這些組織及其策略、技術和程序(Tactics, Techniques, and Procedures, TTP)至關重要,以達至最有效的防護。」
AI炒作與現實的差距
儘管外界普遍預期AI會改變駭客攻擊手法,但Sophos並未發現相關證據。雖然生成式AI令釣魚及社交程式攻擊更快更精密,,但尚未產生根本性的新攻擊技術。
Shier表示:「AI確實提升了攻擊的規模和干擾,但尚未取代駭客。雖然未來的生成式AI可能成為新動力,但目前仍需重視基礎:強化身份保護、確保可靠的遙測數據,以及在出現問題時能夠快速應對。」
防禦建議
根據《2026年活躍駭客報告》的研究結果,Sophos建議機構及企業採取以下措施:
部署具抗釣魚能力的MFA並驗證其設定
減少身份基建及面向互聯網服務的暴露風險
及時修補已知漏洞,尤其是邊緣設備
透過MDR或同樣方案確保全天候監控
保存並妥善保留安全日誌,以支援快速偵測和調查
《2026年Sophos活躍駭客報告》分析了2024年11月1日至2025年10月31日期間處理的661宗事件應對(Incident Response, IR)及託管式偵測與回應(Managed Detection and Response, MDR)案例,涵蓋70個國家及34個行業的機構。
( 內容由有關方面代表提供, 經編輯後刊登 )
