攻擊者用合法帳號從遠端登入系統，這種方式正好就是大多數攻擊發生的主要原因之一。連續第二年，「帳號憑證遭入侵」是最主要的攻擊根本原因 (占 41%)，其次為「已遭利用的漏洞」(21.79%) 以及「暴力破解攻擊」(21.07%)。

瞭解攻擊速度
在分析 MDR 與 IR 調查時，Sophos X-Ops 團隊特別針對勒索軟體、資料外洩與資料勒索等案例，評估攻擊者在組織內部攻擊各階段的推進速度。在這三種類型的案件中，從攻擊開始到資料外洩的中位時間僅為 72.98 小時 (約 3.04 天)。此外，從資料外洩到攻擊被偵測的中位時間僅為 2.7 小時。

Sophos 外勤首席資安長 John Shier 表示：「被動式防護已無法滿足現今的需求。雖然預防依然重要，但快速回應才是關鍵。企業必須主動監控網路環境，並針對觀察到的遙測數據迅速採取行動。面對具備動機強烈的攻擊者所發動的協同攻擊，企業也需要採取協同防禦。對許多組織而言，這代表必須結合自身的業務知識與專家主導的偵測與回應能力。我們的報告證實，具備主動監控機制的組織能更快偵測攻擊，並獲得更佳的防禦成果。」

《2025 Sophos 主動攻擊者報告》其他重點發現：
‧ 攻擊者最快 11 小時內即可掌控系統：攻擊者從發動初始行動到首次 (且經常成功) 嘗試入侵 Active Directory (AD) 之間的中位時間僅為 11 小時。AD 可說是任何 Windows 網路中最重要的資產之一，一旦遭入侵，攻擊者將更容易全面控制組織。
‧ Sophos 案例中最常見的勒索軟體集團：2024 年最常見的勒索軟體集團為 Akira，其次是 Fog 和 LockBit (即使年初已有多國政府聯手打擊 LockBit，該集團仍然活躍)。
‧ 平均潛伏時間降至僅 2 天：整體潛伏時間 (從攻擊開始到被偵測的時間) 自 4 天降至 2 天，主要歸功於納入了 MDR 案件資料，對結果產生了重要影響。
‧ IR 案件中的潛伏時間：在 IR 案件中，勒索軟體攻擊的潛伏時間維持在 4 天，而非勒索軟體攻擊的潛伏時間則為 11.5 天。
‧ MDR 案件中的潛伏時間：在 MDR 調查中，勒索軟體攻擊的潛伏時間僅為 3 天，非勒索軟體攻擊則縮短至僅 1 天，顯示 MDR 團隊能更快速偵測與回應攻擊。
‧ 勒索軟體集團偏好深夜行動：2024 年有 83% 的勒索軟體執行檔是在目標企業的非上班時間部署。
‧ 遠端桌面通訊協定 (RDP) 持續成為濫用重災區：RDP 涉及 84% 的 MDR／IR 案件，是遭濫用最頻繁的 Microsoft 工具。

為強化防禦，Sophos 建議企業採取以下措施：

‧ 關閉暴露的 RDP 連接埠
‧ 儘可能使用可防網路釣魚的多重要素驗證 (MFA)
‧ 及時修補存在漏洞的系統，特別是面向網際網路的裝置與服務
‧ 部署 EDR 或 MDR，並確保進行 24 小時不間斷的主動式監控
‧ 建立完整的事件回應計畫，並定期透過模擬演練或情境推演來驗證其效用

- 新聞稿有效日期，至2025/05/07為止

上一篇：國美零售持續聚焦主業 積極化解債務
下一篇：科技創新價值凸顯 優然牧業2024年盈利提升