事件回應報告 - 2026

4.1.常見的促成因素：攻擊成功的原因

攻擊者的成功很少與零時差入侵有關。在我們於 2025 年回應的所有事件中，我們發現在超過 90% 的事件中，可預防的涵蓋範圍缺口和不一致套用的控制直接導致入侵。

這些缺口決定攻擊者是否能輕易取得初始存取權、橫向移動的速度，以及防禦者是否可以及時偵測和回應。在今年的調查中，有三種系統性狀況一再出現。

1.可視性缺口：缺少脈絡會延遲偵測

許多組織無法利用所需的遙測來觀察早期階段的攻擊者行為。初始存取和早期攻擊者活動的關鍵指標通常會被忽略，因為 SOC 並未在端點、網路、雲端和 SaaS 層運用訊號。結果是缺少脈絡：防禦者可能會看到個別事件，但卻缺乏相關性，無法辨識主動入侵。

這種分散性迫使回應者從不同的工具手動重建攻擊，因而造成延遲，讓攻擊者有機可乘。在 87% 的事件中，Unit 42 調查員審查了兩個或更多不同來源的證據，以確定發生了什麼事，複雜的案件則利用多達 10 個不同來源的證據。缺乏統一的可視性一直延緩了偵測的速度，讓對手在防禦者看到全貌之前就開始橫向移動。

2.環境複雜性：不一致創造了阻力最小的路徑

安全性基準很少被普遍套用。隨著時間的推移，由於傳統系統、技術採用或併購活動所導致的環境變化，使得在整個企業中執行一致的標準變得困難。

在多項調查中，端點防護等關鍵控制在某個業務單位中已完全部署，但在另一個業務單位中缺失或降級。這種不一致創造了阻力最小的路徑。超過 90% 的資料外洩事件是由於設定錯誤或安全性涵蓋範圍的缺口所導致，而非新型的入侵。

3.身分：過度信任導致橫向移動

在我們的調查中，身分弱點一再將最初的立足點轉化為更廣泛的存取。核心問題往往是過度信任 - 權限和存取路徑過於寬鬆，或者在不再需要之後仍然保留。

攻擊者藉由濫用未停用的傳統角色和過度允許的服務帳戶提升權限。他們沒有強行闖入，而是利用組織內部過度信任而獲得的有效存取權，來取得了進展。

這些失敗反映了身分漂移。隨著權限的累積和例外狀況的持續存在，入侵者遇到的障礙越來越少。近 90% 的事件可追溯至與身分相關的元素，作為調查的關鍵來源或主要攻擊途徑。

4.2.對防禦者的建議

接下來的建議著重於解決上述系統性狀況的實際步驟。

1.提升安全性作業能力，以更快偵測與回應

目前最快的攻擊大約一小時內就會外洩資料，因此安全性作業必須以機器速度進行。這來自賦予 SOC 全面了解企業的能力，利用 AI 識別雜訊中的訊號，以及自動驅動即時回應和修復。採用這六種功能將使您的 SOC 處於成功的最佳位置：

• 擷取所有相關的安全性資料。 攻擊者不會孤立行動，但防禦者卻常常在孤立的環境中進行監控。在 2025 年，可視性缺口（尤其是跨 SaaS、雲端身分和自動化層面）是攻擊者成功的主要驅動因素。關鍵的遙測通常存在，但卻被困在不同的系統中，讓防禦者無法將身分轉移與自動化輸出或瀏覽器儲存的構件（如工作階段權杖）建立關聯。

  若要偵測現代入侵，組織必須從身分提供者、雲端平台和 SaaS 應用程式擷取訊號，並將其規範化為統一檢視。這種整合封閉了攻擊者入侵的薄弱環節，使防禦者能夠及早識別升級途徑。無論使用規則型偵測還是 AI，洞察的品質完全取決於提供的資料是否完整。

• 利用 AI 驅動的功能預防、偵測威脅並排定其優先順序。高警示量和零散的工具讓攻擊者可以透過在系統中分散活動來隱藏自己。若沒有關聯性，這些行動看起來毫不相關，從而延遲了升級。AI 驅動的功能對於將這些不同的訊號拼接成統一的操作檢視是至關重要的。

  行為分析有助於發現微妙的異常現象，例如不尋常的權杖使用或透過雲端自動化的橫向移動，而規則型偵測往往無法捕捉到這些現象。

  AI 可透過關聯身分、端點、雲端和網路層間的事件，優先處理高保真事件而非背景雜訊，從而強化防禦能力。這可讓安全性團隊立即將協調攻擊與例行活動區分開來，確保分析師將工作重點放在構成最大風險的威脅上，而不是追逐誤判。

• 利用自動化啟用即時威脅回應。遏制的延誤往往源自於所有權不明確，以及人工驗證步驟無法跟上攻擊者自動化步伐。有效的回應需要為自動遏制動作（例如撤銷權限或隔離工作負載）指派明確的權限，以便可以毫不猶豫地繼續執行。

  透過將臨時判斷取代為標準化、已驗證的劇本，組織可確保回應遵循可稽核的順序。然而，為了跟上現代威脅的步伐，必須部署代理式 AI 作為最終的防禦加速器。這些自主系統可動態調查複雜的警示，以機器速度將各個領域的資料相互關聯，以獲得全貌。

  一旦驗證後，代理程式就會獲授權執行動態、精確的遏制動作，從透過微區隔隔離受影響的系統到自動撤銷遭入侵的憑證。這種嚴謹的智慧型方法可大幅減少操作漂移、限制攻擊者的停留時間，並防止個別入侵事件升級為更廣泛的事件。

• 從被動式安全性轉移到主動式安全。 為了從被動式防禦轉移，組織必須超越傳統的滲透測試，轉向持續的對抗性測試。時間點稽核很少擷取身分漂移與攻擊者在實際入侵時所利用的雲端設定錯誤的交互作用。防禦者需要驗證控制在真實條件下的表現，確保遙測管道和回應工作流程能如預期般運作。

  主動性延伸至復原。彈性組織會在還原服務前，驗證系統是否沒有殘留存取權，例如遭入侵的憑證或變更的設定。確保修復可以解決根本原因，而非僅僅還原過時的快照，這有助於防止快速再感染，並支援長期的彈性。

• 提升 SOC 以取得高效能成果。 在作用中事件期間，不一致的遏制或不清楚的所有權會為攻擊者創造重新建立存取權的機會。高效能的 SOC 可確保不論分析師或一天中的任何時間，都能統一地採取回應動作，從而消除這種差異。

  在壓力下保持一致是至關重要的；它可以防止隔離的入侵升級為更廣泛的危機。

  要實現這一目標，需要橋接跨安全性、IT 和 DevOps 的營運孤島。劇本應該反映當今系統的運作方式，而不是最初的設計方式，這樣自動化的動作才能符合實際的業務邏輯。賦予分析師更廣泛的職責（例如端對端事件回應，而非僅僅是警示分流）、提高保留率、增加多功能性，以及推動可衡量的業務成果。

• 使用 IR 保留措施加深您的工作台。 適當的保留措施以讓您的能力超越緊急應變的範疇。為了保持領先地位，組織必須針對威脅行為者在野外使用的特定行為測試和驗證控制措施。跨攻擊性安全性、AI 安全性、SOC 程序和雲端安全性進行重覆評估，有助於確認遙測管道和回應工作流程在實際攻擊條件下如預期般運作。

  您的 IR 保留措施合作夥伴應該提供快速的專家服務，以進行主動的就緒檢查、偵測工程和驗證，確保防禦性的改善能長期維持。透過將持續測試與保留的專業知識結合，組織可提高彈性。

將您的 SOC 與這些核心原則相結合，就能將您的防禦轉變為高速回應引擎，有能力擊退對手，並在威脅升級之前將其阻止。

2.採用零信任以限制影響區域

在身分已成為主要攻擊面的環境中，零信任是策略上的必要措施。目標是消除使用者、裝置和應用程式之間的隱含信任關係，並持續驗證數位互動的每個階段。

實際上，要實現零信任是很複雜的。然而，即使是微小的成果，也能減少攻擊面、限制橫向移動，並將任何初始存取環境的影響降至最低。透過移除周邊內的安全假設，防禦者可迫使攻擊者更努力地爭取每寸存取空間，從而減緩攻擊速度，並創造更多的偵測機會。

• 持續驗證使用者、裝置和應用程式。攻擊者經常會利用初始登入後持續存在的靜態信任。一旦進入，他們就會使用竊取的工作階段權杖或有效憑證假扮為合法使用者，往往可以完全繞過周邊控制。前門的靜態檢查站再也不夠用了。

  持續驗證將信任視為動態的，當條件在工作階段期間發生變化時，會重新審視決策。即時驗證身分脈絡、裝置健康情況和應用程式行為，可讓組織偵測合法工作階段是否被挾持，或使用者行為是否偏離規範。因此，遭入侵的帳戶或裝置對攻擊者而言只會在有限的時間內有用，從而減少擴大存取或暂存資料的機會。

• 強制執行最低權限以限制攻擊者的行動。過多的權限對攻擊者來說是一種力量倍增器。在 2025 年發生的許多事件中，入侵者利用身分漂移、使用組織無法移除的累積權限和未停用角色，繞過內部控制。他們不是依靠複雜的攻擊，而是透過有效但過度佈建的存取路徑橫向移動。

  透過限制使用者、服務和應用程式僅能存取其功能所需的權限，強制執行最低權限可減少此攻擊面。這必須超越人類使用者的範圍，將機器身分和服務帳戶也包括在內，這些身分和帳戶通常會保留廣泛且監控不力的權限。移除不必要的權限可消除攻擊者所依賴的直接存取路徑，迫使他們使用更明顯、更困難的技術，讓防禦者更容易偵測到。

• 對受信任和不受信任的流量套用一致的檢查。對受信任和不受信任的流量套用一致的檢查。攻擊者知道，雖然周邊有防護，但工作負載之間的內部「東西向」流量通常不經檢查就會通過。他們利用這種信任，方法為使用加密的內部連線進行橫向移動和暫存資料，而不會觸發警報。

  為了實現一致、全面的威脅分析，組織必須將所有網路、雲端和安全存取服務邊緣 (SASE) 安全性整合到單一的統一平台。此統一架構可在各處提供一致的第 7 層檢查，從而透過單一管理平面自動強制執行政策。

  此一整合可讓您策略性地轉向進階雲端交付的安全性服務。這種轉變允許對所有流量進行即時、線上分析，包括對內部工作負載之間移動的流量進行重要的解密和檢查。此功能移除了攻擊者的藏身之處，主動阻止未知的網路釣魚、零時差惡意軟體和迴避性 C2 活動。

• 控制資料存取和移動以降低影響。在許多事件中，最具破壞性的結果並非發生在初始入侵時，而是在隨後的資料存取、中斷和外洩過程中。攻擊者通常會尋找控制薄弱或監控不力的儲存庫，以在偵測進行之前悄悄聚集敏感資訊。

  對於資料的存取、共用和傳輸方式加強控管，可限制敏感資訊的移動位置和條件，從而減少這些機會。當資料通路受到嚴格控制與持續監控時，攻擊者在準備或擷取寶貴資產時所面臨的選項就會減少，即使發生入侵，也能降低潛在損失的規模與嚴重性。

透過有系統地消除隱含的信任，您可以剝奪攻擊者所依賴的行動力，確保單一入侵點導致的是可控事件，而不是全企業的危機。

3.以更強大的身分與存取管理阻止身分攻擊

身分目前已是安全性周邊，但其常常缺乏有效的安全保障。在 2025 年調查的入侵中，身分弱點是半數以上入侵的決定因素，主要原因是身分存放區的擴充速度快於旨在控管它們的控制措施。

攻擊者不斷利用傳統權限和未受監控的服務帳戶，繞過外圍防禦措施，從控管偏差所造成的缺口中進攻。為了阻止這種情況發生，組織必須管理身分，而不是將其視為靜態的憑證清單，而是橫跨整個生命週期的動態營運資產。

• 集中管理人類和機器的身分。 您無法控管看不到的東西。當身分資料分散在傳統目錄、雲端供應商和 SaaS 環境時，攻擊者就會利用由此產生的弱點。

  將使用者和機器身分集中到權威目錄可簡化驗證，並移除難以持續監控的隱藏存取路徑。此整合還應該包括第三方整合和 API 連接器，以便安全性團隊可以看到每個要求存取的實體，不論是個人、服務帳戶或 AI 代理程式。透過統一的控制平面，防禦性 AI 可以將登入異常與可疑活動相互關聯，將身分變成主動的操作訊號，而非靜態的憑證清單。

• 以持續的生命週期管理對抗控管偏差。 控管偏差（即操作變更的移動速度快於旨在指導它們的控制措施）仍然是造成攻擊者槓桿效應的重要原因。

  角色轉換、快速部署週期和日常捷徑擴大了書面政策與實際存取之間的差距。工作流程工具和服務連接器所擁有的權限往往超出政策的預期。這創造了攻擊者透過傳統權限和未監控服務帳戶入侵的升級路徑。將身分視為一個生命週期，將自動化限制於目前的需求，並隨著時間的推移停用多餘的存取，有助於封閉這些缺口，並限制攻擊者在初始存取後的活動。

• 偵測並回應身分型威脅。在身分當作營運資產而非靜態憑證進行管理的環境中，防禦性 AI 能夠發揮最有效的作用。在我們的調查中，擁有強大身分基礎的組織更早將登入異常、自動化活動和周邊身分事件連結起來，這有助於更快地遏制問題。

  在控管強而有力的地方，偵測管道產生了更清晰、更可靠的指標，協助團隊更早識別升級行為。相反，弱控管創告了掩蓋這些訊號的雜訊。定期審查可讓權限與實際需求保持一致，從而提高偵測訊號的準確性，確保 AI 輔助的控制能有效運作。

• 保護 AI 與自動化完整性。 當組織將 AI 代理程式和自動化工作流程內嵌至核心程序時，這些系統就會成為有吸引力的操控目標。在調查中，我們觀察到助理帳戶部署了廣泛的預設存取權限，而自動化工具則在未經完整性驗證的情況下執行。

  為了防止這些工具成為攻擊的途徑，安全性團隊必須對 AI 系統採用與人類使用者相同的嚴謹控管方式。這包括在自動化步驟進入生產前明確進行驗證、對 AI 賦能工作流程套用完整性檢查，以及確保助理帳戶經過強化以防止濫用。

將身分視為動態作業系統，而非靜態目錄，您可以消除攻擊者所依賴的隱藏途徑，並讓安全性團隊在濫用發生時立即偵測出來。

4.保護應用程式生命週期（從程式碼到雲端）

保護現代企業需要的不只是確保基礎結構的安全。需要的是保護建置它的工廠。

2025 年，攻擊者越來越多地鎖定軟體供應鏈和雲端 API，繞過傳統周邊，在程式碼中注入弱點，或在進入生產前就入侵薄弱的整合。為了對抗這種情況，組織必須將安全性防護措施從最早期的開發階段延伸至執行階段，處理 AI 模型時、請以與內部系統相同的嚴謹態度建置管道和第三方程式碼。

• 阻止安全性問題進入生產階段安全性的運作必須跟上發展的速度。將保護措施整合至 DevOps 以及持續整合與持續部署 (CI/CD) 管道，有助於在部署前找出並修復自訂程式碼、開放原始碼元件和 AI 設定中的弱點。

  同樣的方法也適用於 AI 系統，其中及早評估模型安全性與設定可降低下游風險。強化開發工具和控管開放原始碼相依性，有助於消除攻擊者用來繼承業務工作流程內信任的弱點。

• 保護軟體與 AI 供應鏈。雖然供應鏈攻擊並非最常見的攻擊途徑，但卻產生最高的影響力，尤其是對於其他成熟的組織更是如此。建置系統、整合服務和 AI 相關儲存庫中的弱點，可讓攻擊者甚至不需與防火牆互動，就能進入下游環境。

  要降低這種風險，就必須進行嚴格的溯源檢查。建置環境和部署管道必須具有明確的身分控制和完整性防護。在採用外部軟體程式庫、API 連接器和 AI 元件之前，應評估其存取模式和更新做法。有效的供應鏈控管可為偵測程序提供可靠的基準，讓我們更容易識別可信賴的相依性何時開始發生非預期行為。

• 識別並封鎖執行階段攻擊。一旦應用程式上線，重點就會轉移到遏制上。攻擊者經常嘗試透過濫用合法的雲端身分、API 或工作負載權限來維持和擴大存取。

  即時偵測結合一致的執行時控制，例如行為監控、明確的網路邊界以及對非預期 API 互動的限制，有助於中斷這些策略。同樣的防護也應延伸至 AI 託管環境，在此環境中，即使在初始入侵之後，監控模型漂移和未經授權的資料存取也能限制攻擊者的行動。

• 自動執行雲端偵測與回應 (CDR)。在雲端中，速度是唯一重要的指標。延遲隔離受影響的工作負載或撤銷濫用的身分，為攻擊者提供升級所需的空間。

  自動化可讓 SecOps 團隊持續偵測並回應雲端威脅，同時使用原生雲端控制快速遏制事件。隔離遭入侵的容器或撤銷可疑的工作階段權杖等動作，有助於防止局部性問題升級為更廣泛的中斷或資料遺失。

• 建置安全 AI 和開發文化。AI 現在已是一種營運資產，而不只是一種工具。由於助理和自動提示已內嵌在日常工作流程中，因此帶來單靠技術控制無法解決的行為風險。

  強大的安全性文化會像對待關鍵基礎結構一樣對待 AI 系統。這包括檢閱助理的使用方式、避免在提示中暴露敏感資料，以及驗證 AI 產生的程式碼。當團隊瞭解人類的判斷仍是有效使用 AI 的核心時，控管控制就會強制執行而非繞過，確保自動化的驅動力不會超過對其進行監督的能力。

透過將安全性內嵌至開發與執行階段環境的架構中，您可以協助確保 AI 與雲端創新的速度能夠推動業務成長，而非提高系統性風險。

5.保護攻擊面與人機介面

要保護組織，現在需要將目光放遠到公司筆記型電腦以外的地方。現代的攻擊面已擴大到包括未受管理的承包商裝置、面向公眾的雲端資產和網頁瀏覽器本身，而網頁瀏覽器已經成為企業的主要工作空間。

身為防禦者，我們面臨雙重挑戰。我們必須嚴格管理攻擊者不斷掃瞄的外部風險，同時保護使用者與資料、AI 和開放 Web 互動的人機介面。為了保護這個龐大的環境，安全性必須將其範圍從外部邊緣延伸到瀏覽器工作階段。

• 透過主動暴露管理減少攻擊面。 Unit 42 發現，軟體弱點佔今年事件初始存取的 22%，突顯了從簡單的探索到主動排定風險優先順序的迫切需要。有效的暴露管理可以彌補這個缺口，方法為建立完整、持續的數位足跡目錄，包括傳統掃描遺漏的影子基礎結構和未授權的 AI 工具。

  最重要的是，此策略必須篩選出雜訊，同時使用威脅情報只優先處理那些在真實世界被主動鎖定（例如CISA KEV）且缺乏補償控制的資產。透過將有限的資源集中在可入侵的關鍵業務風險上，團隊可以在攻擊者找到開啟的大門之前關上機會之窗。

• 保護人機介面。 瀏覽器是新的端點和新的企業桌面。這是員工存取資料的地方，也是承包商執行其工作的地方，不幸的是，也是網路釣魚等社交工程攻擊最有效的地方。

  要保護此介面，需要企業級的安全瀏覽器，為受管理和未受管理的裝置建立完全隔離且安全的企業工作區。無論底層硬體為何，這個強大的層級都能即時強制執行資料控制。它可以停用敏感頁面上的複製和貼上功能、防止從未知來源下載檔案，以及識別可迴避標準電子郵件篩選器的進階網路釣魚網站。透過強化瀏覽器，組織可獲得對影子 AI 使用情況的精細可視性，並直接防止敏感的企業資料洩漏至未經授權的 GenAI 工具。

• 保護第三方和未受管理存取。 將公司筆記型電腦運送給每個承包商或收購目標的僵化模式已不再可持續或安全。組織需要一種方法，在未受管理的裝置上強制執行零信任存取，而沒有傳統虛擬桌面基礎結構 (VDI) 解決方案的成本和複雜性。

  透過瀏覽器保護工作區，企業可以授權承包商和 BYOD 使用者安全地存取企業應用程式，同時將業務資料與個人環境嚴格隔離。此方法可加速併購整合和承包商入職，同時確保遭入侵的個人裝置無法用作進入企業網路的墊腳石。

• 收集統一的遙測資料並自動回應。對於您管理的端點，資料是防禦的燃料。偵測複雜的攻擊有賴於收集跨程序、網路連線和身分行為的高保真遙測資料，然後在中央平台內統一該資料。

  當 AI 驅動的引擎分析這些資料時，在單獨情況下看不見的異常，就會變成明顯的入侵指標。然而，偵測只是成功的一半。

  為了減少損害，回應機制必須是自動的。安全性團隊必須有能力隔離遭入侵的端點、啟動鑑識掃描並以機器速度修復威脅，確保局部感染不會演變成系統性入侵。

透過保護瀏覽器作為主要工作區，並嚴格管理外部攻擊面，您就能保護傳統端點控制再也無法觸及的使用者和資產。