* Read more
* downloads  
  [![Logo](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/incident-response-report/images/logo.png)](https://www.paloaltonetworks.tw/unit42 "Palo Alto")  
  ![Incident Response Report 2026 hero banner](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/hero-banner.webp)

# 事件回應報告 - 2026

全球  
事件  
回應  
報告 2026

* \[\]( "Copy Link")連結已複製到剪貼簿
* [](https://twitter.com/intent/tweet?url=https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report&text=Navigating+the+Evolving+Threat+Landscape:+Resilient+Cybersecurity+Tactics+for+CISOs&via=PaloAltoNtwks&hashtags=security "Twitter")
* 
* [](https://start.paloaltonetworks.com/contact-unit42 "聯絡我們")

## 執行摘要

我們認為有四大趨勢將塑造 2026 年的威脅形勢。

* **首先，AI 已經成為威脅行為者的力量倍增器。** 它壓縮了從存取到影響的攻擊生命週期，同時引入了新途徑。這種速度轉變是可以測量的：在 2025 年，最快攻擊的外洩速度增加了四倍。

* **第二，身分已成為攻擊者成功的最可靠途徑。** 在 Unit 42 近 90% 的調查中，身分弱點扮演了實質角色。攻擊者越來越多地使用竊取的憑證和權杖「登入」，利用零散的身分資業提升權限並進行橫向移動。

* **第三，軟體供應鏈風險已從易受攻擊的程式碼擴大到濫用受信任的連線。** 攻擊者利用軟體即服務 (SaaS) 整合、廠商工具和應用程式相依性，大規模繞過周邊。這將影響從孤立的入侵轉向廣泛的營運中斷。

* \*\*第四，民族國家行動者正在調整隱匿和持久性戰術，以適應現代企業營運環境。\*\*這些行為者越來越依賴角色驅動的滲透（虛假就業、合成身分）以及對核心基礎結構和虛擬化平台的更深層次入侵，並有早期跡象表明，他們利用 AI賦能的技術手段來鞏固這些立足點。

儘管這四種趨勢各自帶來挑戰，但**攻擊者的成敗很少是由單一攻擊途徑決定的。** 在超過 750 次的事件回應 (IR) 中，87% 的入侵涉及跨越多個攻擊面的活動。這表示防禦者必須同時保護端點、網路、雲端基礎結構、SaaS 應用程式和身分。此外，將近一半 (48%) 涉及瀏覽器型活動，反映出攻擊與例行工作流程（如電子郵件、Web 存取和日常 SaaS 使用）交錯的頻率。

**大多數的入侵都是由於暴露而非攻擊者的複雜度所造成。** 事實上，在超過 90% 的入侵中，可預防的漏洞是造成入侵的實質因素：有限的可視性、不一致套用的控制，或過度的身分信任。這些情況延遲了偵測、建立了橫向移動的路徑，以及一旦攻擊者取得了存取權就提高影響力。

\*\*安全性領導者必須封閉攻擊者所依賴的缺口。\*\*首先，透過保護應用程式生態系統（包括協力廠商相依性和整合），以及強化瀏覽器（許多入侵現在都從瀏覽器開始）來降低風險。同時，透過推進零信任及加強身分與存取管理 (IAM) 來消除過度信任並限制橫向移動，以減少影響區域。最後，作為最終一道防線，確保安全性作業中心 (SOC) 可透過整合遙測和自動化回應，以機器速度偵測和遏制威脅。

## 1.簡介

2025 年，Unit 42 回應了 750 多起重大網路事件。我們的團隊曾與面臨勒索、網路入侵、資料竊取和進階持續威脅的大型組織合作。合作目標遍及各主要產業和 50 多個國家/地區。在每個案例中，情況都已升級到 SOC 請求支援的地步。

一旦請求，我們的事故應變者就會迅速展開調查、控制並消除威脅。我們協助組織確定發生了什麼情況、還原操作，並透過強化控制、可視性和彈性來降低再次發生的風險。

每個入侵都有一個故事：攻擊者的目標是什麼、他們如何取得存取權、活動如何升級，以及有什麼方法可以及早阻止入侵。整體而言，這些故事會形成趨勢，並讓您深入了解全球威脅形勢。它們顯示了對手技術手段的變化、組織重複犯下的錯誤，以及最重要的是，防禦者可以做什麼以保護組織。本報告總結了這些經驗教訓。

過去一年，攻擊速度持續加快。攻擊者在採用 AI 賦能的技術手段仍處於早期階段，但其影響已經明顯可見。AI 可減少偵查、社會工程、指令碼編寫、疑難排解和勒索作業間的摩擦。它可以擴大規模並能夠同時發起多個攻擊。結果是偵測和控制的時間窗口越來越小，在初次存取後的最初幾分鐘內所發生的事情，可能會決定事件是否會演變成入侵。

與此同時，大多數入侵仍然遵循熟悉的路徑。這就是為什麼我們最重要的結論維持不變：安全性問題是可以解決的。在超過 90% 的事件中，設定錯誤或安全措施失效是造成入侵的主要原因。攻擊者正在適應，但他們最常利用可預防的漏洞取得成功 - 不一致的控制部署、不完整的遙測、過度授權的身分信任，以及跨 SaaS 和雲端的未受管理第三方連線。

本報告組織成目前威脅形勢的實用指南：

* **新興威脅與趨勢：** 攻擊者的技術手段如何演變 - 以 AI 作為力量倍增器、以身分作為最可靠的成功途徑、透過受信任連線擴大軟體供應鏈風險，以及民族國家策略不斷演變。

* **入侵內部：** 在 Unit 42 調查中觀察到的策略、技術和程序的總體檢視 - 攻擊者的目標、攻擊者進入的方式、攻擊者移動的速度，以及攻擊者造成的影響。

* **對防禦者的建議：** 具體的步驟可以封閉造成入侵的缺口、限制影響區域，並快速建立回應能力，足以在事件升級前阻止其發生。

Unit 42 全天候運作，保護數位世界免受網路威脅。本報告的目標很明確：本報告的目標很明確：將我們在前線學到的知識轉化為決策，從而在事件演變成漏洞之前將其阻止。  
![Sam Rubin](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/sam-rubin.webp)

### Sam Rubin

諮詢和威脅情報的 SVP

Unit 42

## 2.新興威脅與趨勢

### 趨勢 1.AI 已成為攻擊者的力量倍增器

AI 正在改變入侵經濟。它提高了攻擊者的速度、規模和有效性，同時開啟了全新的攻擊途徑。

儘管這些活動大多發生在對手的基礎結構上 - 超出我們直接觀察的能力範圍，但 Unit 42 的調查和研究顯示出明顯的轉變。2025 年，威脅行為者從實驗階段移至日常操作階段。AI 並非攻擊者的「簡易按鈕」，但卻能大幅減少摩擦。它允許威脅行為者更快速地移動、更頻繁地迭代，並在較少人為限制的情況下運作。

## AI 提升攻擊的速度與規模

AI 縮短了攻擊的生命週期，並減少在多個目標上操作所需的人工。

**更快的弱點入侵：** 揭露與入侵之間的空窗期持續縮小。威脅行為者正在進行「監控 → 差異 → 測試 → 武器化」循環的自動化。 [Unit 42 研究](https://www.paloaltonetworks.com/blog/2022/12/active-attack-surface-management-with-cortex-xpanse/)發現，攻擊者會在 CVE 公佈後 15 分鐘內開始掃瞄新發現的漏洞。入侵嘗試通常在許多安全性團隊閱讀完漏洞公告之前就已開始。

**平行化目標定位：** 操作員時間較少受到約束。AI 輔助的工作流程可讓行動者在數百個目標間平行執行偵查和初始存取嘗試，然後將精力集中在發現微弱訊號的地方。

**大規模的勒索軟體：** 我們看到行為者使用 AI 來減少部署（指令碼生成、範本製作）和勒索（訊息一致性）期間的手動工作。這種轉變並不是勒索軟體是新的，而是**大規模執行該軟體所需的操作人員時間正在下降。**  
勒索軟體自動化  
在勒索軟體調查中，Unit 42 復原了用來部署有效負荷、協調橫向移動，以及大規模破壞安全性控制的操作指令碼。有幾個元素與 AI 輔助開發一致，包括異常徹底的註解、範本化的變體，以及注重效率的回復邏輯。最終的效果是在數百個系統中以機器般的方式執行，壓縮了多階段部署通常所需的時間和精力。  
AI 協商者  
在一宗勒索案件中，Unit 42 協商者觀察到，在各種交流中，對方的回應在語氣、文法、節奏和反應時間方面都異常一致。這些模式與範本化或 AI 輔助的訊息傳送一致。即使是部分自動化也很重要：它能夠讓行為者執行更多並行協商，並施加更有紀律的壓力，而不需要在每個執行緒上都綁著一個人工操作員。

**這在影響時間中意味著什麼：** 去年，[第 Unit 42 模擬](https://www.paloaltonetworks.com/blog/2025/02/incident-response-report-attacks-shift-disruption/)一次 AI 輔助攻擊，將入侵時間縮短至 25 分鐘。真實的 IR 資料反映出這種加速：最快的 25% 入侵在 1.2 小時內就實現了資料外洩，比前一年的 4.8 小時還要短。

## AI 可改善攻擊者的成果

AI 正在提高已知攻擊技術的成功率。

**超個人化的社交工程：** 我們已經超越了「使用更好的語法進行網路釣魚」。行動者可以自動收集開放原始碼情報 (OSINT)，包括專業和組織脈絡，以製作符合目標角色和關係的誘餌。

**合成身分：** [Muddled Libra](https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/)和[北韓 IT 工作者](https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/)等威脅行為者越來越多地使用深度偽造技術，來竊取憑證和通過遠端招募工作流程。

**惡意軟體開發：** 在[Shai-Hulud](https://unit42.paloaltonetworks.com/npm-supply-chain-attack/)攻擊活動中，Unit 42 認為，攻擊者使用了大型語言模型 (LLM) 來產生惡意指令碼。

**降低進入門檻：** 量身打造的惡意 LLM 和越獄攻擊持續降低製造有說服力的誘餌和功能性程式碼變體所需的技術。最終效果是，更多的行動者能夠更快速地執行可信的技術手段，同時減少錯誤。  
「氛圍勒索」  
一個經驗不足的行為者竊取了敏感資料，但卻沒有製定勒索計畫。為了彌補差距，他們使用了 LLM 撰寫專業的勒索策略劇本，其中包括最後期限和施壓手法。結果是超現實的：行為者在床上錄製了一段威脅影片，當時他明顯喝醉了，從螢幕上一字不漏地讀出 AI 所產生的劇本。威脅缺乏技術深度，但模型提供了連貫性。AI 並沒有讓攻擊者變得更聰明，只是讓他們看起來夠專業而具有危險性。

**底線：** AI 可提高攻擊者在每個階段的成功率。它改善了誘餌的品質、縮短了適應工具所需的時間，並減少了對操作員不斷介入的依賴，使勒索更加一致和可擴展。

## AI 創造新的攻擊途徑

企業採用 AI 會產生新類別的風險：離地 AI 攻擊 (LOTAIL)。正如攻擊者濫用 PowerShell 或 Windows Management Instrumentation (WMI)，他們現在正將合法的 AI 平台和內嵌式助理變成武器。

**將您的 AI 平台化為武器：** 威脅行為者使用有效憑證濫用企業 AI 平台。例如，最近[Unit 42 對 Google Vertex AI 的研究](https://unit42.paloaltonetworks.com/privilege-escalation-llm-model-exfil-vertex-ai/)顯示，攻擊者可以濫用自訂工作權限來提升權限，並使用惡意模型作為特洛伊木馬來外洩專屬資料。

\*\*攻擊者的 Co-Pilot：\*\*搭配遭入侵的憑證，入侵者可以使用內部助理以機器速度提取脈絡，包括要求整合指南、管理員執行手冊或網路地圖。助理成為力量倍增器，讓入侵者可以瞭解環境並減少犯錯。  
AI 輔助的內部人員  
一個內部人員利用其公司自己的 AI 助理作為武器發動了攻擊。鑑識分析顯示，內部人員使用了該工具研究內部系統、產生自訂拒絕服務 (DoS) 指令碼，以及即時對錯誤進行疑難排解。助理彌補了技能上的差距，讓行動者能夠針對核心基礎結構進行攻擊，如果沒有 AI 的支援，他們很可能無法如此有效地對付核心基礎結構。

**風險顯而易見：** 如果工具可以協助員工完成工作，也可以協助入侵者瞭解您的環境，減少行動上的失誤。

## 對策：防範 AI 驅動的威脅

這些戰術將有助於您防範 AI 輔助的攻擊：

**反 AI 加速的攻擊速度**

* **自動執行外部修補：** 強制對面向網際網路的資產上的關鍵 CVE 進行自動修補，以關閉 24 小時的入侵窗口。
* \*\*自主遏制：\*\*部署 AI 驅動的回應，以縮短偵測/回應的平均時間 (MTTD/MTTR)，並在威脅自動進行橫向移動之前將其隔離。

**防範改良的技術手段**

* **行為電子郵件安全性：** 從特徵碼型篩選器過渡到可辨識通訊模式中異常的引擎。
* **意圖型感知：** 不只是訓練員工找出錯字。對所有敏感要求（例如電匯、憑證重設或遠端僱用）改用頻外 (OOB) 驗證。

**保護 AI 攻擊面**

* **監控模型遙測：** 將不尋常的 AI API 呼叫或源自模型輸出的指令碼與已知的迴避技術建立關聯。
* **提示可視性：** 對內部 LLM 的敏感查詢（例如「尋找所有密碼」）發出警示，並對權杖和服務帳戶強制執行嚴格的權限邊界。

### 趨勢 2.身分是攻擊者成功的最可靠途徑

去年，在 Unit 42 處理的近 90% 的調查中，身分弱點扮演了實質角色。在我們的案例中，身分貫穿了整個入侵過程。它作為進入方式、權限升級的路徑，以及使用有效存取權進行橫向移動的機制。

隨著組織逐漸深入 SaaS、雲端和混合環境，網路周邊的重要性也隨之降低。身分（使用者、機器、服務和資料之間的連結）已經成為實際的周邊。在許多情況下，威脅行為者不需要複雜的入侵鏈。他們使用竊取的憑證、劫持的工作階段或範圍錯誤的權限登入。

經過驗證的存取會變更入侵的動態。它可讓對手移動得更快、混入正常活動中，以更少的障礙擴大他們的影響區域。由於機器身分、內嵌式 AI 應用程式和分散的身分資產擴大了攻擊者可以入侵的存取路徑數量，這種趨勢正加速發展。

## 進入方式：身分驅動的初始存取

Unit 42 案例資料顯示，65% 的初始存取都是由身分型技術所驅動。當防禦者專注於修補漏洞時，威脅行為者通常會透過將使用者和驗證路徑設為目標，繞過軟體控制。

我們看到以下主要的初始存取路徑：

* **與身分相關的社會工程 (33%)：** 身分型網路釣魚 (22%) 和其他社交工程 (11%) 仍是現代入侵的主要驅動因素。這些策略並非簡單的憑證竊取，而是越來越著重於多因素驗證 (MFA) 規避和工作階段劫持，讓攻擊者得以繞過驗證控制，並透過利用受信任的身分工作流程進行橫向移動。
* \*\*憑證濫用和暴力破解 (21%)：\*\*先前遭入侵的憑證 (13%) 和暴力活動 (8%) 讓攻擊者只需很少的互動就能取得存取權。透過使用從先前入侵或地下市場取得的有效帳戶，行動者可直接登入虛擬私人網路 (VPN)、遠端存取閘道和雲端入口網站，繞過傳統的週邊防禦，而不會觸發早期偵測。
* \*\*身分政策與內部人員風險 (11%)：\*\*這些途徑源自於內部信任和架構缺陷，涉及有效權限的入侵。攻擊者利用 IAM 設定錯誤 (3%)，例如過度授權的政策，來提升權限和繼承存取權，而內部威脅 (8%) 則涉及合法憑證的濫用。

身分與弱點管理並非分是獨自的戰鬥。洩漏的憑證可能會造成與未修補且面向網際網路的系統相同的風險。

## 通過方式：身分將存取權化為影響力

初次存取後，身分缺口是攻擊者將立足點化為高影響力入侵的其中一個最常見方式。在現代環境中，經過驗證的動作會決定速度和影響範圍。

[Unit 42](https://www.paloaltonetworks.com/resources/research/unit-42-cloud-threat-report-volume-6) 對雲端帳戶中超過 680,000 個身分進行分析，發現 99% 的雲端使用者、角色和服務都有過多的權限，有些甚至超過 60 天未使用。這造成了橫向移動比較容易的環境，因為許多身分每天都帶著他們不需要的權限。

攻擊者利用人類和機器的身分作為操作槓桿：

* **權限提升：** 範圍過大的角色、繼承的權限和未停用的遺留授權，為獲得更高權限創造了可重複的途徑。一旦攻擊者可以寫入至 IAM，他們通常不需要部署新穎的工具就可以快速升級。
* \*\*憑證重複使用和橫向移動：\*\*行動者通常會在其他系統中測試遭入侵的憑證。當密碼在生產環境和非生產環境中重複使用，或共用帳戶仍然存在時，情況尤其如此。
* \*\*權杖和 OAuth 濫用：\*\*遭竊的工作階段權杖和非法 OAuth 授權可讓攻擊者繞過互動式驗證（包括 MFA）、無需重複登入即可持續存在，並在明顯警示減少的情況下進行操作。

信任路徑（例如共用管理帳戶、委託存取權和第三方工具）成為橫向移動的快速通道。如果沒有嚴密的權限邊界和強大的身分區隔，單一遭入侵身分就可能擴展為廣泛的存取。

## 不斷擴大的身分攻擊面

身分格局不斷擴大，變得支離破碎。隨著組織採用雲端、SaaS 和 AI 賦能的工作流程，身分移入的區域往往不在一致的治理範圍內，從而建立了攻擊者在可視性降低的情況下進行操作的區域。

有三種趨勢正在推動這種轉變：

* \*\*機器和 AI 身分的崛起：\*\*非人類身分，例如服務帳戶、自動化角色、API 金鑰和新興的 AI 代理程式，其數量往往超過人類使用者。這些身分經常被賦予過高的權限、依賴長期存在的憑證，而且監控方式不一致。對於攻擊者而言，入侵服務帳戶的槓桿可能比攻擊個人更高，也更安靜。
* \*\*影子身分：\*\*雲端和 AI 採用增加了未經批准的帳戶、開發者環境和第三方連接器的數量。這些影子身分通常會繞過標準上線、審查和記錄，從而建立 SOC 可能在造成影響後才會看到的存取路徑。
* **身分孤島：** 大多數企業操作多種身分系統（例如 Active Directory、Okta、雲端原生 IAM）。當驗證和授權分散時，可視性也會分散。攻擊者可以在內部部署和雲端環境之間移動，同時在任何單一控制平面中留下不完整的痕跡。

大規模的錯誤設定會將身分從控制變成負擔。當機器身分、影子存取和分散的身分產業結合時，攻擊者就能獲得更可靠的路徑來持續存在並擴展。防禦者也會失去端對端的可視性。

## 對策：破壞身分驅動的技術手段

這些策略步驟可以破壞在 Unit 42 案例中觀察到與身分相關的技術手段：

* **部署防網路釣魚的 MFA：** 標準 MFA 不足以對抗現代的繞過和中間人攻擊策略。優先將 FIDO2/WebAuthn 硬體金鑰或通行金鑰用於高價值角色 (管理員、主管、開發人員)。
* \*\*清點和輪換機器身分：\*\*為非人類身分（服務帳戶、自動化角色、API 金鑰）建立持續探索。立即輪換 90 天內未變更的任何特權服務帳戶的靜態憑證，並盡可能縮短憑證生命週期。
* **強化工作階段：** 攻擊者透過竊取權杖和濫用 OAuth 授權，越來越多地將重點放在登入後。縮短敏感應用程式的工作階段生命週期，並強制執行有條件存取，在工作階段期間持續評估裝置健康情況、位置和風險。
* \*\*消除常設管理員權限：\*\*將特權存取移至及時存取模式。移除持續的管理員授權，並要求時間有限的提升搭配核准以及強大的記錄，以便遭入侵的帳戶預設只會獲得最低的權限。

### 趨勢 3.軟體供應鏈攻擊日益造成下游破壞

供應鏈風險不再局限於易受攻擊的程式碼。2025 年，供應鏈擴大到包括 SaaS 整合、廠商管理平面，以及複雜的相依性生態系統。定義模式是下游中斷和平行評估。當上游供應商報告了入侵或中斷時，客戶往往只能停下來回答一個基本問題：我們受到影響了嗎？在許多情況下，他們對於自己的暴露程度所知甚少。

新的失敗模式不是一個遭入侵的客戶。有許多客戶被推送到平行分流，而上游的情況仍不清楚。這使得供應鏈成為民族國家和犯罪集團的高價值目標。透過現代企業所依賴的受信任連線，單一入侵就能創造出一對多的機會。

## SaaS 整合：大規模繼承的權限

SaaS 環境透過 OAuth 應用程式、API 金鑰和工作流程自動化整合在一起。這些連線通常會帶來資料和業務流程的存取權。對於攻擊者而言，遭入侵的整合可能會成為橫向移動路徑，看起來就像正常的自動化。

這種暴露反映在 Unit 42 調查中。來自 SaaS 應用程式的資料與 2025 年 23% 的案例相關，高於 2024 年的 18%、2023 年的 12% 以及 2022 年的 6%。這種穩定的成長顯示出攻擊者正在超越傳統的周邊，集中攻擊現代工作所使用的雲端工具。

風險是繼承的權限。當組織透過 OAuth 整合第三方應用程式時，該應用程式會收到原本授與的任何權限，有時包括讀取敏感資料、管理使用者或修改記錄的能力。如果上游廠商遭到入侵，這些相同的權限也可能在下游被濫用。  
隱藏的整合風險  
在最近一次涉及遭入侵銷售參與平台（Salesloft/Drift 整合）的調查中，攻擊者利用有效的 OAuth 權杖存取下游 Salesforce 環境。這些活動與日常的客戶關係管理員 (CRM) 自動化相似，並混合至預期的整合流量。事件後檢閱揭露了更深層的問題：該組織發現有近 100 個額外的第三方整合與 Salesforce 連線，其中許多是休眠、未監控或是由前員工擁有的。

## 開放原始碼與 AI：相依性擴散與建置時間入侵

開放原始碼仍然是現代開發的基礎，但風險卻越來越集中在間接相依性。[Unit 42 的研究](https://start.paloaltonetworks.com/unit-42-cloud-threat-report-volume-7)指出，雲端原生應用程式中超過 60% 的弱點都存在於傳遞式程式庫中。這些程式庫是透過您的程式碼所在套件拉入的「無聲」相依性。

威脅行為者也會將惡意程式碼注入至上游套件，以在安裝和建置步驟期間執行，從而在部署前入侵管道。開發速度會使這種風險更加複雜。隨著 GenAI 輔助編碼成為主流，團隊正以更快的速度擷取更多程式碼和更多相依性。這通常是在對溯源、維護者信任和下游套件行為審查不足的情況下進行的。  
惡意套件  
我們調查了威脅行為者上傳合法 npm 套件惡意版本的活動。其中一個套件深深內嵌在相依性樹狀結構中，安裝後立即執行攻擊者控制的程式碼。由於這種活動是在建立和安裝期間發生，因此可以繞過執行階段偵測，並在任何人看到警示之前，在多個建置環境中建立立足點。

## 廠商工具：將管理通道武器化

供應商工具，尤其是遠端監控與管理 (RMM) 和行動裝置管理 (MDM) 平台，是專為大規模的特權管理動作而設計。當攻擊者可以存取廠商的管理基礎結構（或客戶的租用戶）時，他們就能以混入例行管理流量的方式推送惡意軟體、執行命令或變更設定。我們在現場的觀察也支持了這一趨勢：我們發現 39% 的命令與控制 (C2) 技術與遠端存取工具 (T1219) 有關。

企業也會由於在關鍵工作流程內執行不透明的第三方應用程式而承擔風險。當客戶無法檢查廠商的程式碼庫或安全性假設時，潛在後門、硬式編碼憑證或暴露的介面就可能一直存在而不被察覺。  
傳統應用程式  
在一項跨國調查中，一個傳統第三方計費應用程式暴露了一個未記錄、未驗證的網際網路介面。現有的控制系統沒有偵測到它，因為流量似乎與正常的應用程式行為一致。更深入的評估揭露了結構性缺陷，包括 SQL 插入點和隱藏的 shell 功能。由於客戶無法檢查底層程式碼，這些問題已持續多年。

## 影響：從回應到業務中斷

供應鏈事件透過不確定性擴大了中斷。當廠商遭到入侵時，下游團隊會在資訊真空方式運作。結果是組織大規模上進入「評估模式」，因為團隊會暫停變更、檢視整合、隔離相依性，並嘗試在正常作業繼續之前確認沒有影響。

三個系統性缺口造成了該負擔：

* **庫存缺口：** 許多組織缺乏 SaaS 連線、廠商代理程式和傳遞式程式庫的統一檢視，使得回答「這個項目用在哪裡？」 的速度變得緩慢
* **權限不透明度：** 整合、代理程式和工具的有效權限，若沒有手動審查，就很難快速判斷，使得真正的影響不清楚。
* \*\*遙測缺口：\*\*由於活動是透過受信任管道（更新、API 呼叫、管理工具）送達，因此日誌通常看起來是合法的，這會延遲偵測並增加調查時間。

**展望未來：** 當組織採用 AI 賦能工作流程和第三方代理程式時，這項挑戰將會更加複雜。供應鏈風險將愈來愈不只包括程式碼的完整性，還包括模型、連接器，以及代表組織執行的委託動作的完整性。

## 對策：保護軟體供應鏈

防禦供應鏈需要縮短**評估暴露和影響區域** 和**影響區域**所需的時間。

* \*\*對應 SaaS 所有權和範圍：\*\*清查 OAuth 應用程式與整合（SaaS 安全性態勢管理與探索）。指派擁有者。移除休眠整合以及與已離職使用者關聯的整合。
* \*\*設計「碎玻璃」切割計畫：\*\*預先定義如何撤銷權杖、停用連接器，以及隔離廠啇代理程式，而不會在上游事件發生時暫時應對變。
* \*\*以稽核深度記錄廠商和整合活動：\*\*確保您可以回答執行了什麼、在哪裡、由誰執行。權限變更，權杖授與和管理員動作異常時發出警示。
* **強化建置擷取：** 使用軟體組成分析 (SCA) 和溯源控制。釘選版本、限制新的儲存庫，並要求檢閱新的相依性，特別是那些在安裝或建置時執行的相依性。

### 趨勢 4.民族國家行動者正在調整策略以適應現代環境

[民族國家行動](https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/)在 2025 年擴大了規範，推動間諜活動、預先部署和存取活動。在與中國、北韓和伊朗有關的活動中，有三個轉變相當突出：

* 更多地使用身分驅動的存取
* 更深入地入侵基礎結構和虛擬化層
* 提早實驗以隱匿和持久性為目標的 AI 賦能技術手段

與中國結盟的團體已超越使用者層級的活動，進入基礎結構和虛擬化平台。北韓和伊朗的操作員擴大了使用招募誘餌、合成角色和量身打造的惡意軟體來建立存取權。我們也觀察到新興的 AI 驅動技術，包括深度偽造身分建立和自動 C2 生成。

這些發展反映了存取方法的轉變，而這些方法對於防禦者來說，是更難偵測和驗證的。

## 中國：專注於邊緣與虛擬化

與中國相關的威脅活動繼續以長期存取和資料收集為優先。2025 年的顯著轉變，從以電子郵件為重點的間諜活動，移至更深入地入侵應用程式、基礎結構和虛擬化層面。

[Phantom Taurus](https://unit42.paloaltonetworks.com/phantom-taurus/)就是這種變更的典範，從以收集敏感電子郵件為中心的活動，演變成直接針對資料庫和 Web 伺服器進行收集和入侵。其 NET-STAR 惡意軟體使用進階迴避技術，對 Web 基礎結構暴露的組織構成重大風險。

同樣地，我們針對資訊技術、SaaS 及業務流程外包組織觀察了長達一年的持續性活動（由 Unit 42 追蹤為活動叢集 CL-STA-0242）。活動背後的團隊入侵了 IT 服務供應商所操作的虛擬化平台，並部署了 BRICKSTORM 惡意軟體，將 C2 流量隱藏在一般加密的 Web 工作階段中，使得透過網路監控進行偵測的難度大為增加。 [CISA](https://www.cisa.gov/news-events/alerts/2025/12/04/prc-state-sponsored-actors-use-brickstorm-malware-across-public-sector-and-information-technology)已公開將 BRICKSTORM 活動歸咎於中國政府支持的行動者。。

這些轉變說明，基礎結構和虛擬化環境持續從使用者層級的收集，邁向更深層次的入侵，在這些環境中，長期存取更為持久，防禦者也更難偵測到。

## 北韓：武器化的 HR 第一部分

2025 年，北韓的威脅活動仍是企業持續面對的挑戰。儘管有廣泛的公開報導、執法行動和多邊制裁措施，多個長期執行的活動仍持續進行。

Unit 42 至少追蹤了兩個活動：

* [**Wagemole**](https://unit42.paloaltonetworks.com/tag/wagemole/)北韓特工在未經授權的情況下獲得美國和歐洲組織的遠端僱用，並暗中將收入轉回給北韓政府。透過這些承包商和員工角色所獲得的存取權，可進行未經授權的財務付款和間諜活動。Wagemole 於 2023 年首次公開[曝光](https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/)，2025 年仍然活躍，我們從 20 多個企業環境中找出並驅逐了相關活動。
* [**Contagious Interview**](https://unit42.paloaltonetworks.com/tag/contagious-interview/)：至少從 2022 年開始，這些特工透過虛構的工作面試，透過編碼挑戰傳遞惡意軟體，將軟體開發人員和 IT 人員設為目標。僅在 2025 年，我們就從 10 多個企業網路移除 Contagious Interview 感染，突顯出在企業系統上執行未經驗證程式碼的相關風險。

## 伊朗：武器化的 HR 第二部分

2025 年，伊朗的威脅活動仍然頻繁，多個組織繼續針對戰略部門採取行動。特別值得注意的是 Screening Serpens 和 Curious Serpens，這兩家公司都使用以就業為主題的誘餌來瞄準航太和衛星通訊供應商。這項活動反映出伊朗長期對處理敏感技術與營運資訊的組織有興趣。

Unit 42 已追蹤下列活動：

* **Screening Serpens（又稱 Smoke Sandstorm，UNC1549）：** 這個組織以中東的政府組織為目標，模仿知名的航太和國防公司，建立詐騙性的就業入口網站。這些網站將惡意軟體包裝成求職申請資料傳遞，並經常使用有效的程式碼簽署憑證進行簽署以增加可信度。操作安全性錯誤可讓 Unit 42 研究人員檢閱完整的感染鏈，提示候選者下載受感染的調查問卷檔案或文件包。
* **Curious Serpens（又稱 APT33，Peach Sandstorm）：** Curious Serpens 透過電子郵件傳送的招募誘餌和在職業網站上發布的招募訊息，鎖定了一家通訊供應商。該操作安裝了一個模組化後門，能夠收集情報並發展後續有效負荷。操作人員依賴合法簽署的可執行檔、DLL 側載和迴避技術，顯示他們持續投資於專門設計來規避現代安全性控制的工具集。  
  值得信賴的履歷  
  在 Serpens 的一次調查中，一名攻擊者透過 LinkedIn 和個人電子郵件與一名員工接洽，並提供一份量身打造的履歷檔案，其中安裝了惡意軟體，並啟用合法的遠端管理工具。進入系統後，操作人員收集憑證、檢視環境、部署自訂後門，並嘗試移除活動蹤跡，表明對持續性和隱蔽性的重視。

使用真實的僱用主題和已簽署的二進位檔會增加受害者開啟惡意檔案的可能性。這突顯敏感部門需要監控招募相關活動，並驗證任何外部來源的文件或程式碼。

## 民族國家採用人工智慧

雖然民族國家行動者大規模採用 AI 的證據仍然有限，但 2025 年提供的早期跡象顯示，有些團體開始將 AI 整合到他們的行動中。由於許多可能的使用案例（例如惡意軟體開發、基礎結構生成或外洩資料分析）都發生在企業環境之外，超出了傳統的可視範圍，因此防禦者很難觀察到這些活動。隨著能力的進步，瞭解民族國家在何處進行 AI 試驗，對於預測未來的商業技術愈來愈重要。

攻擊者似乎最有興趣利用 AI 來加強持續性，並建立更持久的立足點。民族國家操作人員已顯示出對身分和可信度驅動的進入點，以及虛擬化和應用程式基礎結構的更深層次入侵的依賴與日俱增。這些存取方法對於防禦者來說已經很難驗證，而 AI 可能會讓這些方法更有效率、更難破壞。

其中一個最明顯的公開範例出現在七月，當時烏克蘭當局在[CERT-UA 公警告](https://cert.gov.ua/article/6284730)中報告稱，被懷疑為 LAMEHUG 的俄羅斯惡意軟體使用 LLM 透過 API 產生 C2 指令。此活動歸因於 Fighting Ursa（又稱 APT28，Fancy Bear），以自動化工作流程取代人工操作。

北韓操作人員也顯示出 AI 實驗的跡象。在與 Wagemole 活動相關聯的 [Unit 42 研究](https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/)中，調查人員發現疑似北韓帳戶使用 AI 型圖像操控服務，為就業詐騙計劃創造深度偽造角色。在一個相關的 Contagious Interview 式行動中，攻擊者利用 AI 產生的身分、重複使用的帳戶，以及修改過的屬於真實專業人士的個人資料，捏造了一間公司，並在多個社群網路平台上散佈。其結果是一個令人信服的企業外貌，旨在增加信任度，並提高招募驅動的存取作業的成功率。

## 對策：防範民族國家對手

將防禦重點放在民族國家操作人員用來取得並維持長期存取的存取路徑、基礎結構層級和可信賴的通道。

* **收緊身分和招募工作流程的驗證：** 加強對承包商入職和外部雇用的檢查，以便在合成角色、深度偽造和以工作為主題的誘餌進入核心系統之前將其攔截。
* **擴展虛擬化與應用程式基礎結構的監控：** 有關虛擬化平台、面向 Web 的應用程式和服務提供者環境的基準和日誌活動。傳達持續性或橫向移動的偏差發出警示。
* **強化並監控受信任工具和通道的使用：** 檢視如何使用已簽署的二進位檔、加密流量、遠端管理工具和協作平台。標記出可能表示憑證濫用或秘密活動的模式。
* \*\*在敏感的工作流程中監管和治理 AI 相關活動：\*\*限制哪些 AI 服務可以與身分、開放原始碼或敏感資料互動。記錄它們的使用情況，並調查可能表示自動化角色建立或 AI 驅動作業的異常模式。

## 3.入侵內部

本節將細分我們在 2025 年 Unit 42 事件回應調查中觀察到的行為。我們將這些觀察歸納為四個維度，以展示攻擊者的行為以及他們如何取得成功：

* **攻擊面：** 這是攻擊者發動攻擊的地方。入侵很少會停留在單一區域；入侵現在會同時跨越端點、雲端基礎結構和身分層。
* **進入點：** 他們就是這樣進來的。網路釣魚和弱點並列成為主要的初始存取途徑，各佔 22%。攻擊者是務實的，他們利用人為錯誤和未修補的系統，以相同的頻率強行打開大門。
* **速度：** 它們移動速度就是這麼快。雖然平均時間各有不同，但速度最快的攻擊群組正在加速，縮小了有效防禦的時間窗口。
* \*\*影響：\*\*這是受害者的代價。今年標記著加密向資料竊取和勒索的轉變。

## 3.1.攻擊面：跨企業入侵

### 攻擊很少停留在單一車道

表 1 列出 2025 年 Unit 42 調查所涉及的主要攻擊面，涵蓋端點、網路、雲端服務、身分系統、應用程式、電子郵件，以及使用者驅動的活動。這些類別代表我們在調查期間觀察到攻擊者活動所在的主要操作層。由於入侵經常跨越多層，因此它們並不互相排斥，總和也不會達到 100%。單一事件可能一次涉及數個事件。

|  攻擊面   | 百分比 |
|--------|-----|
| 身分     | 89% |
| 端點     | 61% |
| 網路     | 50% |
| 人類     | 45% |
| 電子郵件   | 27% |
| 應用程式   | 26% |
| 雲端     | 20% |
| SecOps | 10% |
| 資料庫    | 1%  |

\*\*\*表 1.\**入侵所涉及的攻擊面，顯示每個攻擊面受到影響的事件百分比。*

在所有事件中，87% 涉及跨越兩個或多個攻擊面的活動。67% 的事件涉及三個或更多個攻擊面的活動。跨四個或多個攻擊面的活動出現在 43% 的攻擊中，我們觀察到跨八個攻擊面活動的案例。雖然每年受影響攻擊面的分佈不盡相同，但這種模式強化了入侵很少會局限於單一攻擊面的事實，通常隨著存取和機會的增加而擴大。

身分在許多事件中佔有顯著的比例（接近 90%），代表我們案例中最常涉及的攻擊面之一。

以人類為目標的活動也經常出現，佔事件的 45%。這種模式呼應了我們最近的 [社會工程報告](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)中更廣泛的主題，該報告強調人層互動如何在入侵成功中持續扮演決定性的角色。

### 瀏覽器攻擊面：人機介面的攻擊

瀏覽器活動在今年 48% 的調查中扮演重要角色（高於 2024 年的 44%）。這反映出當本機控制薄弱時，例行 Web 工作階段如何讓使用者暴露於惡意連結、憑證收集頁面，以及注入的內容。

在一起我們調查的 ClickFix 事件中，攻擊者透過搜尋引擎最佳化 (SEO) 污染，引導一家全球工業公司的員工在搜尋餐廳時進入偽造網站。該網站使用社交工程提示，說服員工執行複製到剪貼簿的惡意程式碼，之後攻擊者試圖在記憶體中執行惡意軟體。儘管我們無法確認確切的有效負荷，但攻擊者似乎嘗試下載資訊竊取程式。

一家全球醫療技術公司經歷了一次由 SEO 污染開始的入侵。一名管理員存取了一個託管惡意版本管理工具的偽造網站，之後透過內部訊息通話與網域管理員分享連結。這導致了執行遭入侵的軟體。在取徥立足點之後，攻擊者跨關鍵系統、外洩的資料部署了勒索軟體，並提出贖金要求。在系統還原期間，造成的中斷長時間影響了製造、分銷、運送和訂單處理。

未受管理的應用程式和有限的瀏覽器防護，在某個事件中，允許初始執行嘗試，然後才加以遏制。在另一個事件中，惡意管理工具的特許執行啟用了勒索軟體的部署和更廣泛的營運中斷。

### 雲端攻擊面：入侵管道

延續去年的模式，我們約有 35% 的調查涉及雲端或 SaaS 資產。在這些案例中，調查需要從雲端環境收集日誌或影像，或檢閱外部託管應用程式內的活動，表示入侵觸及了雲端託管的資產或工作流程。

雲端的弱點各有不同，但一旦建立了存取權，即使是基本的問題也會影響攻擊者的行為。在某項調查中，敏感的雲端憑證被發現暴露在公用儲存庫中，擴大了攻擊者可以用來到達雲端環境的路徑。

在另一項調查中，攻擊者以開放原始碼論壇中的開發人員為目標，說服他們下載受污染的偵錯工具。這讓例行協作變成了雲端入侵點。

遭入侵的工具讓攻擊者得以存取開發人員儲存的雲端憑證。他們利用這些憑證進入後端系統，並在多個區塊鏈網路中觸發未經授權的提款。本案例顯示透過雲端原生開發工作流程取得的存取權，如何被濫用來接觸敏感系統，並造成重大影響。

## 3.2.進入點：初始存取來自可預測的路徑

2025 年的初始存取遵循熟悉的模式，大多數入侵都是透過一組集中的已知途徑開始。圖 1 顯示過去五年來這些途徑的分佈情況，強調網路釣魚和軟體弱點如何持續出現在最主要的進入點。雖然途徑之間的相對平衡每年都在改變，但整體趨勢是穩定的：攻擊者繼續依賴少數可靠的技術來取得最初的立足點。  
2021 2022 2023 2024 2025  
顯示全部

**圖 1.** 初始存取途徑 (2021-2025)。Unit 42 資料收集方法已經調整，以提供更精細的資料，減少「其他」類別。精細度的增加也引入了新的類別，例如「內部威脅與濫用受信任的關係和工具」。當無法取得特定年份的資料時，以 N/A 表示。

### 網路釣魚與弱點並駕齊驅

網路釣魚和弱點入侵是最常見的初始存取途徑，各佔 2025 件事件初始存取的 22%。這種同位性之所以存在，只是因為這兩種方法都非常有效。

網路釣魚活動的轉換率越來越高，因為 AI 可協助攻擊者製作可信、無誤的誘惑，繞過傳統篩選器，更有效地吸引使用者。與此同時，由於攻擊面不斷擴大，加上自動化讓攻擊者能以比防禦者更快的速度掃描並入侵弱點，因此弱點入侵的速度也在加快。由於這兩種途徑都提供可靠的入侵路徑，因此攻擊者大量利用這兩者。

除了網路釣魚和弱點入侵之外，我們還發現五年資料集中其他主要初始存取途徑的重要趨勢：

* 2025 年，先前遭入侵的憑證下降至 13%，扭轉了 2023 年和 2024 年所報告的高活動率。
* 「其他社交工程」類別的活動在這段期間大幅成長，從 2021 年的 3% 成長到 2025 年的 11%，即使我們引入了更多的精細度後也一樣。大部分的成長似乎與直接互動策略一致，例如 Muddled Libra 等團體所使用的服務台操控技巧。
* 暴力破解的比例從 13% 下降到 8%，結束了多年來的上升趨勢，顯示許多組織都加強了身分控制。
* IAM 設定錯誤仍是長期存在的初始存取途徑，在整個五年期間的出現率介於 1% 到 4% 之間。

### 弱點入侵是由機會驅動，而非新奇事物

攻擊者會依賴弱點入侵，因為它提供明顯的操作優勢。五年模式顯示，行動者直接回應他們可用的弱點種類，以及將這些弱點轉化為存取所需的努力。

當廣泛部署的系統中出現高影響力的問題時，操作人員會迅速採取行動，因為潛在的影響範圍相當大，而自動化入侵所需的工作相對較低。

種模式反映了攻擊者的實用主義。操作人員傾向於入侵在任何特定時刻最能存取且最具成本效益的資源。

### 大環境、更大的弱點暴露

資料顯示，大型企業面臨不同的初次存取風險平衡：2025 年，在這些環境中，弱點佔初次存取的比例剛好超過四分之一 (26%)，而網路釣魚的比例則為 17%。此模式表示大型企業可能會透過更強大的電子郵件篩選、使用者感知和身分控制，來降低網路釣魚的風險。這些措施不會消除網路釣魚風險，但可能會限制其相對於小型組織的有效性。

大型分散式環境擁有混合所有權、傳統系統和不均勻的修補週期，即使在資金充裕的組織中，也很容易讓可入侵的弱點持續存在。對於這種規模的公司來說，複雜性本身就增加了弱點未被處理的可能性，這也解釋了為何入侵作為初始存取途徑出現的頻率較高。

## 3.3.速度：最快的攻擊速度越來越快

從初始入侵到確認資料被竊取的持續（即資料外洩時間）在頻譜最快的一端顯示出急劇加速。如圖 2 所示，在 2025 日曆年，最快的四分位數入侵只需一個多小時 (72 分鐘) 即可達到資料外洩，比 2024 年的近五小時 (285 分鐘) 有所減少。在一小時內達到資料外洩的事件比例也增加了 - 從 2024 年的 19% 增加到 2025 年的 22%。  
![Time to exfiltrate comparison between 2024 and 2025](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/figure-2.png)

**圖 2.** 將 2024 日曆年與 2025 日曆年進行比較，第一四分位數攻擊速度增加。

在整個資料集中，資料外洩中位時間 (MTTE) 為兩天。雖然比最快的事件還要長，但即使是中位數也突顯了攻擊者一旦進入環境後存取和移除資料的速度有多快。

防禦者必須做好準備，以應付從入侵進展到資料外洩只需幾分鐘或幾小時的入侵，以及更緩慢、更有條理的操作，這些操作會在幾天內展開，涉及更深入的偵查和持久的持續性。

## 3.4.影響：加密以外的勒索

2025 年有 78% 的勒索案出現加密，較表 2 所示 2021-2024 年接近或高於 90% 的水平大幅下降。這代表資料集中最明顯的逐年變化，顯示傳統勒索軟體並未消失，但已不再統一出現在勒索行動中。

| 勒索手法 | 2021 年 | 2022 年 | 2023 年 | 2024 年 | 2025 年 |
|------|--------|--------|--------|--------|--------|
| 加密   | 96%    | 90%    | 89%    | 92%    | 78%    |
| 資料竊取 | 53%    | 59%    | 53%    | 60%    | 57%    |
| 騷擾   | 5%     | 9%     | 8%     | 13%    | 10%    |

\*\*\*表 2.\**2021-2025 年勒索手段發生了哪些變化？*

加密的減少並不等同於其他個別策略的增加。相反地，這反映出攻擊者越來越將加密視為可有可无，而非必要。有幾個 2025 入侵事件，甚至在受害者保留系統存取權時仍進行勒索。在這些情況下，資料暴露、直接壓力或兩者都足以產生槓桿作用，而無需鎖定檔案。

資料竊取一直是勒索活動的一大特色，年復一年出現在一半以上的案件中。威脅行為者經常利用在洩密網站上暴露的威脅，以及在某些情況下轉售竊取的資料，來對受害者施壓，而不管加密與否。

騷擾雖然不常見，但仍是一種持續的手法。這些行為包括直接聯絡員工、威脅要公佈內部資訊，或聲稱如果受害者不付款，他們就會將客戶資料賣給其他行動者。有些團體透過聯繫客戶或合作夥伴來加大施壓力度，即使系統仍然可以存取，也加劇了聲譽和營運壓力。

這些模式顯示勒索已與加密脫勾。儘管加密仍然突出，但攻擊者現在有多種可靠的方法來創造槓桿效應。這擴大了勒索發生的條件範圍。這也強化了無論攻擊者是否部署勒索軟體，都需要可視性、快速回應和強大的資料處理實務。

### 資料竊取仍是持久的槓桿

勒索經濟學有助於解釋攻擊者為何持續進行這些操作。表 3 顯示，初始要求中位數從 2024 年的 125 萬美元增加到 2025 年的 150 萬美元，付款中位數也有所上升。

|           |   2024 年   |    2025    |
|-----------|------------|------------|
| 初始贖金要求中位數 | 美金 125 萬   | 美金 150 萬   |
| 贖金付款中位數   | 美金 267,500 | 美金 500,000 |

\*\*\*表 3.\**勒索軟體仍是攻擊者有利可圖的選項。*

若以預期年營收 (PAR) 來衡量，這些要求佔 PAR 的 0.55%，低於前一年的 2%。許多勒索軟體組織似乎正在研究受害者的支付能力，並利用此資訊來調整要求。要求較低的 PAR 百分比可能反映出旨在增加付款可能性的策略。

在選擇付款的組織中，付款中位數從 267,500 美金上升至 500,000 美金，但付款佔 PAR 的比例則從 0.6% 下降至 0.26%。最初要求與最後付款之間的差距顯示受害者通常有多大的談判空間，也突顯出結構化有談判在限制財務風險方面的價值。

付款的選擇仍是高度因地制宜，受到營運影響、法規考量、法律需求及業務連續性需求的影響。在進行了談判的 2025 年案例中，初始要求與最終付款之間的中位數降幅從 53% 增加到 61%。這示範了即使整體攻擊者定價呈現上升趨勢，經驗豐富的談判員也常常能夠降低成本。

許多勒索軟體集團現在以類似企業的結構運作，包括明確的角色、聯盟計畫和可重複的談判劇本。有些人透過暗網通訊培養「品牌聲譽」，將自己塑造成可預測的或專業的同行。

這種品牌維護延伸至承諾的遵守：在我們的 2025 資料集中，威脅行為者在 68% 的情況下履行了承諾（例如提供解密金鑰或聲稱刪除竊取的資料）。對於防禦者而言，這些可辨識的模式可以提供槓桿作用，儘管它們從未消除與犯罪行為者互動的風險。

復原做法也會影響勒索結果。約 41% 的受害者能夠從備份還原系統而不需要付費，這減少了加密對營運的影響，但並沒有消除停機時間。即使進行復原，許多組織在恢復正常運作之前，仍然面臨系統重建、遏制工作和其他延遲。還原也很脆弱：在 26% 的勒索案件中，攻擊者影響了備份，造成進一步的中斷。

當加密問題透過備份還原得以緩解，或備份完全失敗時，資料外洩的威脅仍會持續對受害者造成壓力，確保資料竊取仍是勒索活動的核心。

## 4.對防禦者的建議

本節識別造成攻擊的系統弱點，以及阻止攻擊所需的實際步驟。透過解決根本原因而非僅是其症狀，組織可以提升其防禦能力，以抵擋常見和新出現的威脅。

## 4.1.常見的促成因素：攻擊成功的原因

攻擊者的成功很少與零時差入侵有關。在我們於 2025 年回應的所有事件中，我們發現**在超過 90% 的事件中，可預防的涵蓋範圍缺口和不一致套用的控制直接導致入侵。**

這些缺口決定攻擊者是否能輕易取得初始存取權、橫向移動的速度，以及防禦者是否可以及時偵測和回應。在今年的調查中，有三種系統性狀況一再出現。

### 1.可視性缺口：缺少脈絡會延遲偵測

許多組織無法利用所需的遙測來觀察早期階段的攻擊者行為。初始存取和早期攻擊者活動的關鍵指標通常會被忽略，因為 SOC 並未在端點、網路、雲端和 SaaS 層運用訊號。結果是缺少脈絡：防禦者可能會看到個別事件，但卻缺乏相關性，無法辨識主動入侵。

這種分散性迫使回應者從不同的工具手動重建攻擊，因而造成延遲，讓攻擊者有機可乘。在 87% 的事件中，Unit 42 調查員審查了兩個或更多不同來源的證據，以確定發生了什麼事，複雜的案件則利用多達 10 個不同來源的證據。缺乏統一的可視性一直延緩了偵測的速度，讓對手在防禦者看到全貌之前就開始橫向移動。

### 2.環境複雜性：不一致創造了阻力最小的路徑

安全性基準很少被普遍套用。隨著時間的推移，由於傳統系統、技術採用或併購活動所導致的環境變化，使得在整個企業中執行一致的標準變得困難。

在多項調查中，端點防護等關鍵控制在某個業務單位中已完全部署，但在另一個業務單位中缺失或降級。這種不一致創造了阻力最小的路徑。超過 90% 的資料外洩事件是由於設定錯誤或安全性涵蓋範圍的缺口所導致，而非新型的入侵。

### 3.身分：過度信任導致橫向移動

在我們的調查中，身分弱點一再將最初的立足點轉化為更廣泛的存取。核心問題往往是過度信任 - 權限和存取路徑過於寬鬆，或者在不再需要之後仍然保留。

攻擊者藉由濫用未停用的傳統角色和過度允許的服務帳戶提升權限。他們沒有強行闖入，而是利用組織內部過度信任而獲得的有效存取權，來取得了進展。

這些失敗反映了身分漂移。隨著權限的累積和例外狀況的持續存在，入侵者遇到的障礙越來越少。近 90% 的事件可追溯至與身分相關的元素，作為調查的關鍵來源或主要攻擊途徑。

## 4.2.對防禦者的建議

接下來的建議著重於解決上述系統性狀況的實際步驟。

### 1.提升安全性作業能力，以更快偵測與回應

目前最快的攻擊大約一小時內就會外洩資料，因此安全性作業必須以機器速度進行。這來自賦予 SOC 全面了解企業的能力，利用 AI 識別雜訊中的訊號，以及自動驅動即時回應和修復。採用這六種功能將使您的 SOC 處於成功的最佳位置：

* **擷取所有相關的安全性資料。** 攻擊者不會孤立行動，但防禦者卻常常在孤立的環境中進行監控。在 2025 年，可視性缺口（尤其是跨 SaaS、雲端身分和自動化層面）是攻擊者成功的主要驅動因素。關鍵的遙測通常存在，但卻被困在不同的系統中，讓防禦者無法將身分轉移與自動化輸出或瀏覽器儲存的構件（如工作階段權杖）建立關聯。
  
  若要偵測現代入侵，組織必須從身分提供者、雲端平台和 SaaS 應用程式擷取訊號，並將其規範化為統一檢視。這種整合封閉了攻擊者入侵的薄弱環節，使防禦者能夠及早識別升級途徑。無論使用規則型偵測還是 AI，洞察的品質完全取決於提供的資料是否完整。

* \*\*利用 AI 驅動的功能預防、偵測威脅並排定其優先順序。\*\*高警示量和零散的工具讓攻擊者可以透過在系統中分散活動來隱藏自己。若沒有關聯性，這些行動看起來毫不相關，從而延遲了升級。AI 驅動的功能對於將這些不同的訊號拼接成統一的操作檢視是至關重要的。
  
  行為分析有助於發現微妙的異常現象，例如不尋常的權杖使用或透過雲端自動化的橫向移動，而規則型偵測往往無法捕捉到這些現象。
  
  AI 可透過關聯身分、端點、雲端和網路層間的事件，優先處理高保真事件而非背景雜訊，從而強化防禦能力。這可讓安全性團隊立即將協調攻擊與例行活動區分開來，確保分析師將工作重點放在構成最大風險的威脅上，而不是追逐誤判。

* \*\*利用自動化啟用即時威脅回應。\*\*遏制的延誤往往源自於所有權不明確，以及人工驗證步驟無法跟上攻擊者自動化步伐。有效的回應需要為自動遏制動作（例如撤銷權限或隔離工作負載）指派明確的權限，以便可以毫不猶豫地繼續執行。
  
  透過將臨時判斷取代為標準化、已驗證的劇本，組織可確保回應遵循可稽核的順序。然而，為了跟上現代威脅的步伐，必須部署代理式 AI 作為最終的防禦加速器。這些自主系統可動態調查複雜的警示，以機器速度將各個領域的資料相互關聯，以獲得全貌。
  
  一旦驗證後，代理程式就會獲授權執行動態、精確的遏制動作，從透過微區隔隔離受影響的系統到自動撤銷遭入侵的憑證。這種嚴謹的智慧型方法可大幅減少操作漂移、限制攻擊者的停留時間，並防止個別入侵事件升級為更廣泛的事件。

* **從被動式安全性轉移到主動式安全。** 為了從被動式防禦轉移，組織必須超越傳統的滲透測試，轉向持續的對抗性測試。時間點稽核很少擷取身分漂移與攻擊者在實際入侵時所利用的雲端設定錯誤的交互作用。防禦者需要驗證控制在真實條件下的表現，確保遙測管道和回應工作流程能如預期般運作。
  
  主動性延伸至復原。彈性組織會在還原服務前，驗證系統是否沒有殘留存取權，例如遭入侵的憑證或變更的設定。確保修復可以解決根本原因，而非僅僅還原過時的快照，這有助於防止快速再感染，並支援長期的彈性。

* **提升 SOC 以取得高效能成果。** 在作用中事件期間，不一致的遏制或不清楚的所有權會為攻擊者創造重新建立存取權的機會。高效能的 SOC 可確保不論分析師或一天中的任何時間，都能統一地採取回應動作，從而消除這種差異。
  
  在壓力下保持一致是至關重要的；它可以防止隔離的入侵升級為更廣泛的危機。
  
  要實現這一目標，需要橋接跨安全性、IT 和 DevOps 的營運孤島。劇本應該反映當今系統的運作方式，而不是最初的設計方式，這樣自動化的動作才能符合實際的業務邏輯。賦予分析師更廣泛的職責（例如端對端事件回應，而非僅僅是警示分流）、提高保留率、增加多功能性，以及推動可衡量的業務成果。

* **使用 IR 保留措施加深您的工作台。** 適當的保留措施以讓您的能力超越緊急應變的範疇。為了保持領先地位，組織必須針對威脅行為者在野外使用的特定行為測試和驗證控制措施。跨攻擊性安全性、AI 安全性、SOC 程序和雲端安全性進行重覆評估，有助於確認遙測管道和回應工作流程在實際攻擊條件下如預期般運作。
  
  您的 IR 保留措施合作夥伴應該提供快速的專家服務，以進行主動的就緒檢查、偵測工程和驗證，確保防禦性的改善能長期維持。透過將持續測試與保留的專業知識結合，組織可提高彈性。

將您的 SOC 與這些核心原則相結合，就能將您的防禦轉變為高速回應引擎，有能力擊退對手，並在威脅升級之前將其阻止。

### 2.採用零信任以限制影響區域

在身分已成為主要攻擊面的環境中，零信任是策略上的必要措施。目標是消除使用者、裝置和應用程式之間的隱含信任關係，並持續驗證數位互動的每個階段。

實際上，要實現零信任是很複雜的。然而，即使是微小的成果，也能減少攻擊面、限制橫向移動，並將任何初始存取環境的影響降至最低。透過移除周邊內的安全假設，防禦者可迫使攻擊者更努力地爭取每寸存取空間，從而減緩攻擊速度，並創造更多的偵測機會。

* \*\*持續驗證使用者、裝置和應用程式。\*\*攻擊者經常會利用初始登入後持續存在的靜態信任。一旦進入，他們就會使用竊取的工作階段權杖或有效憑證假扮為合法使用者，往往可以完全繞過周邊控制。前門的靜態檢查站再也不夠用了。
  
  持續驗證將信任視為動態的，當條件在工作階段期間發生變化時，會重新審視決策。即時驗證身分脈絡、裝置健康情況和應用程式行為，可讓組織偵測合法工作階段是否被挾持，或使用者行為是否偏離規範。因此，遭入侵的帳戶或裝置對攻擊者而言只會在有限的時間內有用，從而減少擴大存取或暂存資料的機會。

* \*\*強制執行最低權限以限制攻擊者的行動。\*\*過多的權限對攻擊者來說是一種力量倍增器。在 2025 年發生的許多事件中，入侵者利用身分漂移、使用組織無法移除的累積權限和未停用角色，繞過內部控制。他們不是依靠複雜的攻擊，而是透過有效但過度佈建的存取路徑橫向移動。
  
  透過限制使用者、服務和應用程式僅能存取其功能所需的權限，強制執行最低權限可減少此攻擊面。這必須超越人類使用者的範圍，將機器身分和服務帳戶也包括在內，這些身分和帳戶通常會保留廣泛且監控不力的權限。移除不必要的權限可消除攻擊者所依賴的直接存取路徑，迫使他們使用更明顯、更困難的技術，讓防禦者更容易偵測到。

* \*\*對受信任和不受信任的流量套用一致的檢查。\*\*對受信任和不受信任的流量套用一致的檢查。攻擊者知道，雖然周邊有防護，但工作負載之間的內部「東西向」流量通常不經檢查就會通過。他們利用這種信任，方法為使用加密的內部連線進行橫向移動和暫存資料，而不會觸發警報。
  
  為了實現一致、全面的威脅分析，組織必須將所有網路、雲端和安全存取服務邊緣 (SASE) 安全性整合到單一的統一平台。此統一架構可在各處提供一致的第 7 層檢查，從而透過單一管理平面自動強制執行政策。
  
  此一整合可讓您策略性地轉向進階雲端交付的安全性服務。這種轉變允許對所有流量進行即時、線上分析，包括對內部工作負載之間移動的流量進行重要的解密和檢查。此功能移除了攻擊者的藏身之處，主動阻止未知的網路釣魚、零時差惡意軟體和迴避性 C2 活動。

* \*\*控制資料存取和移動以降低影響。\*\*在許多事件中，最具破壞性的結果並非發生在初始入侵時，而是在隨後的資料存取、中斷和外洩過程中。攻擊者通常會尋找控制薄弱或監控不力的儲存庫，以在偵測進行之前悄悄聚集敏感資訊。
  
  對於資料的存取、共用和傳輸方式加強控管，可限制敏感資訊的移動位置和條件，從而減少這些機會。當資料通路受到嚴格控制與持續監控時，攻擊者在準備或擷取寶貴資產時所面臨的選項就會減少，即使發生入侵，也能降低潛在損失的規模與嚴重性。

透過有系統地消除隱含的信任，您可以剝奪攻擊者所依賴的行動力，確保單一入侵點導致的是可控事件，而不是全企業的危機。

### 3.以更強大的身分與存取管理阻止身分攻擊

身分目前已是安全性周邊，但其常常缺乏有效的安全保障。在 2025 年調查的入侵中，身分弱點是半數以上入侵的決定因素，主要原因是身分存放區的擴充速度快於旨在控管它們的控制措施。

攻擊者不斷利用傳統權限和未受監控的服務帳戶，繞過外圍防禦措施，從控管偏差所造成的缺口中進攻。為了阻止這種情況發生，組織必須管理身分，而不是將其視為靜態的憑證清單，而是橫跨整個生命週期的動態營運資產。

* **集中管理人類和機器的身分。** 您無法控管看不到的東西。當身分資料分散在傳統目錄、雲端供應商和 SaaS 環境時，攻擊者就會利用由此產生的弱點。
  
  將使用者和機器身分集中到權威目錄可簡化驗證，並移除難以持續監控的隱藏存取路徑。此整合還應該包括第三方整合和 API 連接器，以便安全性團隊可以看到每個要求存取的實體，不論是個人、服務帳戶或 AI 代理程式。透過統一的控制平面，防禦性 AI 可以將登入異常與可疑活動相互關聯，將身分變成主動的操作訊號，而非靜態的憑證清單。

* **以持續的生命週期管理對抗控管偏差。** 控管偏差（即操作變更的移動速度快於旨在指導它們的控制措施）仍然是造成攻擊者槓桿效應的重要原因。
  
  角色轉換、快速部署週期和日常捷徑擴大了書面政策與實際存取之間的差距。工作流程工具和服務連接器所擁有的權限往往超出政策的預期。這創造了攻擊者透過傳統權限和未監控服務帳戶入侵的升級路徑。將身分視為一個生命週期，將自動化限制於目前的需求，並隨著時間的推移停用多餘的存取，有助於封閉這些缺口，並限制攻擊者在初始存取後的活動。

* \*\*偵測並回應身分型威脅。\*\*在身分當作營運資產而非靜態憑證進行管理的環境中，防禦性 AI 能夠發揮最有效的作用。在我們的調查中，擁有強大身分基礎的組織更早將登入異常、自動化活動和周邊身分事件連結起來，這有助於更快地遏制問題。
  
  在控管強而有力的地方，偵測管道產生了更清晰、更可靠的指標，協助團隊更早識別升級行為。相反，弱控管創告了掩蓋這些訊號的雜訊。定期審查可讓權限與實際需求保持一致，從而提高偵測訊號的準確性，確保 AI 輔助的控制能有效運作。

* **保護 AI 與自動化完整性。** 當組織將 AI 代理程式和自動化工作流程內嵌至核心程序時，這些系統就會成為有吸引力的操控目標。在調查中，我們觀察到助理帳戶部署了廣泛的預設存取權限，而自動化工具則在未經完整性驗證的情況下執行。
  
  為了防止這些工具成為攻擊的途徑，安全性團隊必須對 AI 系統採用與人類使用者相同的嚴謹控管方式。這包括在自動化步驟進入生產前明確進行驗證、對 AI 賦能工作流程套用完整性檢查，以及確保助理帳戶經過強化以防止濫用。

將身分視為動態作業系統，而非靜態目錄，您可以消除攻擊者所依賴的隱藏途徑，並讓安全性團隊在濫用發生時立即偵測出來。

### 4.保護應用程式生命週期（從程式碼到雲端）

保護現代企業需要的不只是確保基礎結構的安全。需要的是保護建置它的工廠。

2025 年，攻擊者越來越多地鎖定軟體供應鏈和雲端 API，繞過傳統周邊，在程式碼中注入弱點，或在進入生產前就入侵薄弱的整合。為了對抗這種情況，組織必須將安全性防護措施從最早期的開發階段延伸至執行階段，處理 AI 模型時、請以與內部系統相同的嚴謹態度建置管道和第三方程式碼。

* **阻止安全性問題進入生產階段**安全性的運作必須跟上發展的速度。將保護措施整合至 DevOps 以及持續整合與持續部署 (CI/CD) 管道，有助於在部署前找出並修復自訂程式碼、開放原始碼元件和 AI 設定中的弱點。
  
  同樣的方法也適用於 AI 系統，其中及早評估模型安全性與設定可降低下游風險。強化開發工具和控管開放原始碼相依性，有助於消除攻擊者用來繼承業務工作流程內信任的弱點。

* \*\*保護軟體與 AI 供應鏈。\*\*雖然供應鏈攻擊並非最常見的攻擊途徑，但卻產生最高的影響力，尤其是對於其他成熟的組織更是如此。建置系統、整合服務和 AI 相關儲存庫中的弱點，可讓攻擊者甚至不需與防火牆互動，就能進入下游環境。
  
  要降低這種風險，就必須進行嚴格的溯源檢查。建置環境和部署管道必須具有明確的身分控制和完整性防護。在採用外部軟體程式庫、API 連接器和 AI 元件之前，應評估其存取模式和更新做法。有效的供應鏈控管可為偵測程序提供可靠的基準，讓我們更容易識別可信賴的相依性何時開始發生非預期行為。

* \*\*識別並封鎖執行階段攻擊。\*\*一旦應用程式上線，重點就會轉移到遏制上。攻擊者經常嘗試透過濫用合法的雲端身分、API 或工作負載權限來維持和擴大存取。
  
  即時偵測結合一致的執行時控制，例如行為監控、明確的網路邊界以及對非預期 API 互動的限制，有助於中斷這些策略。同樣的防護也應延伸至 AI 託管環境，在此環境中，即使在初始入侵之後，監控模型漂移和未經授權的資料存取也能限制攻擊者的行動。

* \*\*自動執行雲端偵測與回應 (CDR)。\*\*在雲端中，速度是唯一重要的指標。延遲隔離受影響的工作負載或撤銷濫用的身分，為攻擊者提供升級所需的空間。
  
  自動化可讓 SecOps 團隊持續偵測並回應雲端威脅，同時使用原生雲端控制快速遏制事件。隔離遭入侵的容器或撤銷可疑的工作階段權杖等動作，有助於防止局部性問題升級為更廣泛的中斷或資料遺失。

* \*\*建置安全 AI 和開發文化。\*\*AI 現在已是一種營運資產，而不只是一種工具。由於助理和自動提示已內嵌在日常工作流程中，因此帶來單靠技術控制無法解決的行為風險。
  
  強大的安全性文化會像對待關鍵基礎結構一樣對待 AI 系統。這包括檢閱助理的使用方式、避免在提示中暴露敏感資料，以及驗證 AI 產生的程式碼。當團隊瞭解人類的判斷仍是有效使用 AI 的核心時，控管控制就會強制執行而非繞過，確保自動化的驅動力不會超過對其進行監督的能力。

透過將安全性內嵌至開發與執行階段環境的架構中，您可以協助確保 AI 與雲端創新的速度能夠推動業務成長，而非提高系統性風險。

### 5.保護攻擊面與人機介面

要保護組織，現在需要將目光放遠到公司筆記型電腦以外的地方。現代的攻擊面已擴大到包括未受管理的承包商裝置、面向公眾的雲端資產和網頁瀏覽器本身，而網頁瀏覽器已經成為企業的主要工作空間。

身為防禦者，我們面臨雙重挑戰。我們必須嚴格管理攻擊者不斷掃瞄的外部風險，同時保護使用者與資料、AI 和開放 Web 互動的人機介面。為了保護這個龐大的環境，安全性必須將其範圍從外部邊緣延伸到瀏覽器工作階段。

* **透過主動暴露管理減少攻擊面。** Unit 42 發現，軟體弱點佔今年事件初始存取的 22%，突顯了從簡單的探索到主動排定風險優先順序的迫切需要。有效的暴露管理可以彌補這個缺口，方法為建立完整、持續的數位足跡目錄，包括傳統掃描遺漏的影子基礎結構和未授權的 AI 工具。
  
  最重要的是，此策略必須篩選出雜訊，同時使用威脅情報只優先處理那些在真實世界被主動鎖定（例如[CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)）且缺乏補償控制的資產。透過將有限的資源集中在可入侵的關鍵業務風險上，團隊可以在攻擊者找到開啟的大門之前關上機會之窗。

* **保護人機介面。** 瀏覽器是新的端點和新的企業桌面。這是員工存取資料的地方，也是承包商執行其工作的地方，不幸的是，也是網路釣魚等社交工程攻擊最有效的地方。
  
  要保護此介面，需要企業級的安全瀏覽器，為受管理和未受管理的裝置建立完全隔離且安全的企業工作區。無論底層硬體為何，這個強大的層級都能即時強制執行資料控制。它可以停用敏感頁面上的複製和貼上功能、防止從未知來源下載檔案，以及識別可迴避標準電子郵件篩選器的進階網路釣魚網站。透過強化瀏覽器，組織可獲得對影子 AI 使用情況的精細可視性，並直接防止敏感的企業資料洩漏至未經授權的 GenAI 工具。

* **保護第三方和未受管理存取。** 將公司筆記型電腦運送給每個承包商或收購目標的僵化模式已不再可持續或安全。組織需要一種方法，在未受管理的裝置上強制執行零信任存取，而沒有傳統虛擬桌面基礎結構 (VDI) 解決方案的成本和複雜性。
  
  透過瀏覽器保護工作區，企業可以授權承包商和 BYOD 使用者安全地存取企業應用程式，同時將業務資料與個人環境嚴格隔離。此方法可加速併購整合和承包商入職，同時確保遭入侵的個人裝置無法用作進入企業網路的墊腳石。

* \*\*收集統一的遙測資料並自動回應。\*\*對於您管理的端點，資料是防禦的燃料。偵測複雜的攻擊有賴於收集跨程序、網路連線和身分行為的高保真遙測資料，然後在中央平台內統一該資料。
  
  當 AI 驅動的引擎分析這些資料時，在單獨情況下看不見的異常，就會變成明顯的入侵指標。然而，偵測只是成功的一半。
  
  為了減少損害，回應機制必須是自動的。安全性團隊必須有能力隔離遭入侵的端點、啟動鑑識掃描並以機器速度修復威脅，確保局部感染不會演變成系統性入侵。

透過保護瀏覽器作為主要工作區，並嚴格管理外部攻擊面，您就能保護傳統端點控制再也無法觸及的使用者和資產。

## 5.附錄

我們在本節中從三個維度組織資料，讓防禦者更清楚地檢視我們在 2025 年觀察到的模式。首先，我們概述與每種策略最緊密連結的 MITREATT\&CK^®^技術。然後，我們呈現區域和產業層級的觀點，顯示調查類型如何在不同地理位置和行業間轉移。

## 5.1 透過策略觀察到的 MITRE 技術概觀

以下一系列圖表（圖 3-14）顯示我們觀察到與特定策略相關聯的 MITREATT\&CK^®^ 技術。請注意，所顯示百分比代表每種技術在與針對各自策略識別的其他種類技術進行比較時的普遍程度。這些百分比並不代表這些技術在案例中出現的頻率（請參閱網站版本，探索獨特技術和案例的相關資料）。  
選取資料

* 初始存取
* 探索
* 執行
* 潛伏
* 權限提升
* 防禦迴避
* 憑證存取
* 橫向移動
* 收集
* 命令與控制
* 外洩
* 影響
  初始存取

\*\*圖 3：\*\*觀察到與初始存取策略相關聯的技術的相對普遍程度。

## 5.2 依區域的調查類型

圖 15-17 提供 2025 年期間 Unit 42 所處理調查的區域和產業層級檢視。這些資料顯示北美洲、歐洲、中東及非洲地區以及亞太地區的事件類型有何差異，同時還細分了產業內在我們資料中最具代表性的最常見調查類別。這些洞察將有助於領導者瞭解活動的集中地，以及不同行業和地理位置的風險差異。

地理資料突顯區域調查類型的差異，而產業圖表則清楚地顯示了威脅活動如何符合特定行業營運和技術堆疊的模式。高科技、製造業、金融服務業和醫療保健業各自呈現不同的入侵類型混合，反映了攻擊面、身分架構和雲端成熟度的差異。這些觀點可讓安全性領導者更清楚地瞭解威脅最活躍的地點，以及操作脈絡如何影響 Unit 42 調查的入侵。  
選取資料

* 北美洲
* 歐洲、中東和非洲
* 亞太地區
  北美洲

\*\*圖 15：\*\*依區域的調查類型：北美洲。

## 5.3 依產業的調查類型

以下圖 18-24 顯示了熱門調查類型的細分，這些類型與我們的事件回應資料中最具代表性的產業相關聯。

選取資料

* 高科技
* 製造業
* 專業和法律服務
* 批發與零售
* 金融服務
* 州和地方政府
* 醫療
  高科技

\*\*圖 18：\*\*依產業的調查類型：高科技。

## 6.方法

本報告的資料來源是 Unit 42 在 2024 年 10 月 1 日至 2025 年 9 月 30 日期間回應的 750 多個案例，並與 2021 年以前的案例資料進行比較。我們的客戶範圍從少於 50 人的小型組織，到擁有超過 100,000 名員工的財星 500 大企業、全球 2000 大企業和政府組織。

受影響的組織總部位於 50 多個國家/地區。在這些案例中，約 65% 的目標組織總部位於北美。涉及歐洲、中東和亞太地區組織的案例構成了其餘 35% 的工作。攻擊的影響往往超越組織總部所在地。

我們將此案例資料與威脅研究的洞察結合，而威脅研究的資訊來自產品遙測、暗網洩漏網站的觀察及其他開放原始碼資訊。事件回應者也根據與客戶的直接合作，提供了他們對主要趨勢的第一手觀察。

有幾個因素可能會影響我們資料集的性質，包括與安全性態勢較成熟的大型組織合作的趨勢。我們也強調揭示新興趨勢的案例，對某些主題而言，這意味著我們要專注於整體資料集中較小的部分。

對於某些分析領域，我們選擇篩選資料以避免結果偏差。例如，我們提供事件回應支援，協助客戶調查 CVE 2024-0012 和 2024-3400 的潛在影響，導致這些弱點在我們的資料集中所佔比例過高。在適當的情況下，我們更正了這種過高的代表性。

我們自始至終的指導原則是洞察現有及新興威脅形勢，讓防禦者能夠加強防禦攻擊者的攻擊態勢，以及攻擊者的下一步動向。

### 貢獻者：

Amelia Albanese

Sheida Azimi

Jim Barber

Maxfield Barker

Jeremy Brown

Mark Burns

Josh Costa

Kasey Cross

Michael Diakiwski

Dan O'Day

Richard Emerson

Robert Falcone

Elizabeth Farabee

Byrne Ghavalas

Wyatt Gibson

Alexis Godwin

Evan Gordenker

Daniel Gott

Evan Harrington

Tim Heraldo

Brandon Hicks

Manisha Hirani

Jack Hughes

Margaret Kelley

Seth Lacy

Samantha Le

Yang Liang

Chia Hui Mah

Mitch Mayne

Eva Mehlert

Vraj Mehta

Danny Milrad

Jacqui Morgan

David Moulton

Lysa Myers

Erica Naone

Aisling O'Suilleabhain

Aryn Pedowitz

Andy Piazza

Nicholas Pockl-Deen

Brendan Powers

Nathaniel Quist

Adam Robbie

Laury Rodriguez

Sam Rubin

Doel Santos

Mike Savitz

Andrew Scott

Steve Scott

Ram Shenoy

Michael Sikorski

Scott Simkin

Ray Spera

Samantha Stallings

Jenine Sussman

Virginia Tran

Amy Wagman

JL Watkins

Kyle Wilhoit
[聯絡專家](https://start.paloaltonetworks.com/contact-unit42.html "Contact a specialist")  
目錄

### 目錄

* [執行摘要](#executive-summary)
* [1.簡介](#introduction)
* [2.新興威脅與趨勢](#section-2)
  * [趨勢 1.AI 已成為攻擊者的力量倍增器](#threats-and-trends-1)
  * [趨勢 2.身分是攻擊者成功的最可靠途徑](#threats-and-trends-2)
  * [趨勢 3.軟體供應鏈攻擊日益造成下游破壞](#threats-and-trends-3)
  * [趨勢 4.民族國家行動者正在調整策略以適應現代環境](#threats-and-trends-4)
* [3.入侵內部](#inside-the-intrustion)
  * [攻擊面：入侵跨越企業](#inside-the-intrustion-1)
  * [進入點：初始存取來自可預測的路徑](#inside-the-intrustion-2)
  * [速度：最快的攻擊速度越來越快](#inside-the-intrustion-3)
  * [影響：加密以外的勒索](#inside-the-intrustion-4)
* [4.對防禦者的建議](#recommendations)
  * [常見的促成因素：攻擊成功的原因](#recommendations-1)
  * [對防禦者的建議](#recommendations-2)
* [5.附錄](#appendix)
  * [透過策略觀察到的 MITRE 技術概觀](#appendix-1)
  * [依區域的調查類型](#appendix-2)
  * [依產業的調查類型](#appendix-3)
* [6.方法](#methodology)
  © 2026 Palo Alto Networks, Inc.Palo Alto Networks 是 Palo Alto Networks, Inc. 的註冊商標。我們在美國及其他司法管轄區的商標清單可在 [www.paloaltonetworks.com/company/trademarks](http://www.paloaltonetworks.com/company/trademarks "paloaltonetworks trademarks")中找到。本文提及的所有其他標誌皆為其各自公司所擁有之商標。

2026 全球事件回應報告 02/2026.

### 存取 2026 全球事件回應執行套件

包括完整報告、領導階層見解，以及為董事會準備的簡報投影片。  
職務等級  
工作職能  
電話  
省  
省  
recaptcha  
註冊即可接收有關 Palo Alto Networks 及其合作夥伴的新聞、產品更新、銷售推廣、活動資訊和特別優惠。
提交此表單，即表示我了解我的個人資料將根據 [Palo Alto Networks 隱私權聲明](https://www.paloaltonetworks.com/legal-notices/privacy)和[使用條款](https://www.paloaltonetworks.com/legal-notices/terms-of-use)進行處理。  
本網站受 reCAPTCHA 保護，並適用於 Google [隱私權政策](https://policies.google.com/privacy)和 [服務條款](https://policies.google.com/terms)。
立即下載

### 這是您的副本！

#### 若要立即閱讀報告，請在這裡按一下 [。](https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/unit42/Unit42-Global-Incident-Response-Report.pdf?ts=markdown "unit42 incident response report") 我們也已將它和我們的執行資源套件傳送到您的電子郵件地址。

請將  
[assets@emails.paloaltonetworks.com](mailto:assets@emails.paloaltonetworks.com)  
新增到您的安全寄件者清單。  
{#footer}

## 產品和服務

* [AI 支援的網路安全性平台](https://www.paloaltonetworks.tw/network-security?ts=markdown)

* [透過設計保護 AI](https://www.paloaltonetworks.tw/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.tw/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI 存取安全性](https://www.paloaltonetworks.tw/sase/ai-access-security?ts=markdown)

* [雲端交付的安全性服務](https://www.paloaltonetworks.tw/network-security/security-subscriptions?ts=markdown)

* [進階威脅防護](https://www.paloaltonetworks.tw/network-security/advanced-threat-prevention?ts=markdown)

* [進階 URL Filtering](https://www.paloaltonetworks.tw/network-security/advanced-url-filtering?ts=markdown)

* [進階 WildFire](https://www.paloaltonetworks.tw/network-security/advanced-wildfire?ts=markdown)

* [進階 DNS 安全性](https://www.paloaltonetworks.tw/network-security/advanced-dns-security?ts=markdown)

* [企業資料遺失防護](https://www.paloaltonetworks.tw/sase/enterprise-data-loss-prevention?ts=markdown)

* [企業 IoT 安全性](https://www.paloaltonetworks.tw/network-security/enterprise-iot-security?ts=markdown)

* [醫療 IoT 安全性](https://www.paloaltonetworks.tw/network-security/medical-iot-security?ts=markdown)

* [工業 OT 安全性](https://www.paloaltonetworks.tw/network-security/industrial-ot-security?ts=markdown)

* [SaaS 安全性](https://www.paloaltonetworks.tw/sase/saas-security?ts=markdown)

* [下一代防火牆](https://www.paloaltonetworks.tw/network-security/next-generation-firewall?ts=markdown)

* [硬體防火牆](https://www.paloaltonetworks.tw/network-security/hardware-firewall-innovations?ts=markdown)

* [軟體防火牆](https://www.paloaltonetworks.tw/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.tw/network-security/strata-cloud-manager?ts=markdown)

* [適用於 NGFW 的 SD-WAN](https://www.paloaltonetworks.tw/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.tw/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.tw/network-security/panorama?ts=markdown)

* [安全存取服務邊緣](https://www.paloaltonetworks.tw/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.tw/sase?ts=markdown)

* [應用程式加速](https://www.paloaltonetworks.tw/sase/app-acceleration?ts=markdown)

* [自主數位體驗管理](https://www.paloaltonetworks.tw/sase/adem?ts=markdown)

* [企業 DLP](https://www.paloaltonetworks.tw/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.tw/sase/access?ts=markdown)

* [Prisma 瀏覽器](https://www.paloaltonetworks.tw/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.tw/sase/sd-wan?ts=markdown)

* [遠端瀏覽器隔離](https://www.paloaltonetworks.tw/sase/remote-browser-isolation?ts=markdown)

* [SaaS 安全性](https://www.paloaltonetworks.tw/sase/saas-security?ts=markdown)

* [AI 驅動的安全性作業平台](https://www.paloaltonetworks.tw/cortex?ts=markdown)

* [雲端安全性](https://www.paloaltonetworks.tw/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.tw/cortex/cloud?ts=markdown)

* [應用程式安全性](https://www.paloaltonetworks.tw/cortex/cloud/application-security?ts=markdown)

* [雲端態勢安全性](https://www.paloaltonetworks.tw/cortex/cloud/cloud-posture-security?ts=markdown)

* [雲端執行階段運安全性](https://www.paloaltonetworks.tw/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.tw/prisma/cloud?ts=markdown)

* [AI 驅動的 SOC](https://www.paloaltonetworks.tw/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.tw/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.tw/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.tw/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.tw/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 受管理偵測與回應](https://www.paloaltonetworks.tw/cortex/managed-detection-and-response?ts=markdown)

* [受管理 XSIAM](https://www.paloaltonetworks.tw/cortex/managed-xsiam?ts=markdown)

* [威脅情報和事件回應服務](https://www.paloaltonetworks.tw/unit42?ts=markdown)

* [主動評估](https://www.paloaltonetworks.tw/unit42/assess?ts=markdown)

* [事件回應](https://www.paloaltonetworks.tw/unit42/respond?ts=markdown)

* [轉變您的安全性策略](https://www.paloaltonetworks.tw/unit42/transform?ts=markdown)

* [發現威脅情報](https://www.paloaltonetworks.tw/unit42/threat-intelligence-partners?ts=markdown)

## 公司

* [關於我們](https://www.paloaltonetworks.com/about-us)
* [工作機會](https://jobs.paloaltonetworks.com/en/)
* [聯絡我們](https://www.paloaltonetworks.tw/company/contact-sales?ts=markdown)
* [企業責任](https://www.paloaltonetworks.com/about-us/corporate-responsibility)
* [客戶](https://www.paloaltonetworks.tw/customers?ts=markdown)
* [投資人關係](https://investors.paloaltonetworks.com/)
* [地點](https://www.paloaltonetworks.com/about-us/locations)
* [新聞編輯部](https://www.paloaltonetworks.tw/company/newsroom?ts=markdown)

## 熱門連結

* [部落格](https://www.paloaltonetworks.com/blog/?lang=zh-hant)
* [社群](https://www.paloaltonetworks.com/communities)
* [內容庫](https://www.paloaltonetworks.tw/resources?ts=markdown)
* [網路百科](https://www.paloaltonetworks.tw/cyberpedia?ts=markdown)
* [活動中心](https://events.paloaltonetworks.com/)
* [管理電子郵件偏好設定](https://start.paloaltonetworks.com/preference-center)
* [產品 A-Z](https://www.paloaltonetworks.tw/products/products-a-z?ts=markdown)
* [產品認證](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance)
* [報告漏洞](https://www.paloaltonetworks.com/security-disclosure)
* [網站地圖](https://www.paloaltonetworks.tw/sitemap?ts=markdown)
* [技術文件](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [請勿出售或分享我的個人資訊](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [隱私權](https://www.paloaltonetworks.com/legal-notices/privacy)
* [信任中心](https://www.paloaltonetworks.com/legal-notices/trust-center)
* [使用條款](https://www.paloaltonetworks.com/legal-notices/terms-of-use)
* [文件](https://www.paloaltonetworks.com/legal)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/)
* TW  
  Select your language