【網絡保安資訊】AI 攻防到虛擬化架構：安全防禦新焦點

根據最新發佈的年度網絡威脅趨勢報告，網絡攻擊者正以前所未有的速度演進其戰術 。特別是在人工智慧（AI）的應用與對關鍵基礎設施的定向破壞上，為香港乃至全球的 IT 行業敲響了警鐘。

攻擊生命週期的巨變：AI 與「秒級」權限移交

在 2025 年，AI 已成為攻擊者的「戰力倍增器」 。攻擊者不再僅僅依賴大規模的郵件群發，轉而利用大型語言模型（LLM）發動極具針對性、具備高度互動性的社交工程攻擊 。報告指出，現有的惡意軟件已能在執行期間實時查詢 LLM 以規避偵測 。

另一個令人擔憂的趨勢是「權限移交」（Hand-off）的自動化與極速化。初級入侵者獲取初步訪問權後，會迅速將權限轉交予專業勒索軟件組織進行高破壞性操作 。這種移交在 2025 年的最短中位時間僅為 22 秒，遠低於 2022 年的 8 小時 。這意味著傳統被視為「低優先級」的警報，隨時在不到一分鐘內演變成災難性的網絡事故 。

勒索軟體新戰術：由「數據加密」轉向「恢復阻斷」

過去，企業普遍認為備份是對抗勒索軟件的最後防線。然而，最新調查顯示，勒索軟件運營者已將重心從單純的數據竊取轉向有系統的恢復阻斷 。攻擊者會專門針對備份基礎設施、身份服務（Identity Services）以及虛擬化管理平面進行打擊 。

透過摧毀企業的恢復能力，攻擊者施加更大的壓力以迫使受害者支付贖金 。此外，虛擬化架構（如虛擬機管理中心）成為了重災區 。攻擊者利用「快照掛載」等技術，直接在虛擬化存儲層提取核心數據庫文件，完全繞過虛擬機器內部的安全監控工具 。

身份驗證成為新防線：SaaS 與雲端的聯鎖反應

現代企業高度依賴雲端與 SaaS 平台，這也導致了「級聯影響」（Cascading Impact） 。一旦攻擊者奪取了 SaaS 開發者的訪問令牌（Token）或「非人類身份」（NHI），便能透過預授權權限橫向移動至生產雲環境 。報告顯示，雲端入侵中，語音網絡釣魚（Vishing）已躍升為領先的初始感染途徑，佔比達 23% 。

企業應構建「主動韌性」

面對報告揭示的嚴峻現實，傳統的防禦機制已顯得捉襟見肘 。企業必須從單純的「脆弱防禦」轉向「主動韌性」（Active Resilience） 。

1. 網絡管理與可見性系統（NMS）：針對邊緣設備與核心網絡設備日益增加的漏洞風險 ， NMS 系統能提供全方位的資產盤點與流量監控，填補終端安全工具無法覆蓋的監控盲區 。

2. 智能安全助手（AI Assistant）：面對攻擊者利用 AI 進行自動化攻擊，企業同樣需要 AI 來加速分析 。 AI 助手能實時對接最新的威脅情報，幫助安全團隊從海量警報中精確識別出高風險的「秒級移交」行為，縮短回應時間。

3. 身份與訪問管理強化：針對 SaaS 聯鎖攻擊，企業應推動「永不信任，始終驗證」的架構 ，實施具備抗釣魚能力的多元身份驗證（MFA）及 Just-in-Time 權限管控 ，確保身份驗證成為企業真正的最後邊界。

AVANT為客戶引入先進的網絡監測系統，消除內部的監控盲點，不僅能讓您看清潛在威脅，更能為企業省下巨額的營運風險成本。別讓企業的內部網絡成為駭客的遊樂場。

NMS 如何成為逆轉戰局的核心？

l  即時行為異常偵測（Anomaly Detection）：NMS 不依賴傳統的病毒特徵碼，而是基於機器學習建立網絡的「正常行為基準」。例如，如果系統發現某部平時只處理文書的前堂電腦，在凌晨 3 點突然向海外不明 IP 傳送大量加密數據（Data Exfiltration），NMS 會立即觸發最高級別警報，並可聯動防火牆即時阻斷連線。

l  捕捉隱蔽的橫向移動（Lateral Movement Visibility）：駭客騙取普通員工帳戶後，必定會在內部網絡中悄悄移動，尋找高權限的數據庫或 AD（Active Directory）伺服器。傳統邊界防火牆無法看見內部網絡的動靜，而 NMS 能深入分析伺服器與伺服器之間的「東西向流量（East-West Traffic）」，讓這些隱蔽活動無所遁形。

l  提供不可篡改的鑑證軌跡（Forensics Capability）：高階駭客在完成攻擊後，通常會刪除終端設備上的日誌（Logs）以消滅罪證。但 NMS 位於網絡基礎設施層面，具備網絡封包層級的側錄與分析能力，能保留完整的通訊軌跡。即使設備日誌被毀，資安團隊仍能準確追溯駭客的入侵路徑與受影響的數據範圍。

面對報告中提到的虛擬化架構攻擊與 SaaS 級聯影響，PAM（特權存取管理） 成為了不可或缺的防禦核心。

關鍵防禦：PAM 如何破解虛擬化與雲端危機？

• 阻斷虛擬化層的非法存取：針對攻擊者試圖控制虛擬化管理平面的行為，PAM 透過「即時權限授予」（Just-In-Time, JIT）機制，確保管理員僅在必要時才擁有存取權，且所有高權限操作皆被全程錄影與審計。即使攻擊者獲取了普通憑證，也無法輕易染指核心的虛擬化存儲層。

• 消除 SaaS 供應鏈中的「非人類身份」風險：報告強調了 SaaS 權限蔓延的風險。PAM 能夠統一管理 API 密鑰、Token 及服務帳戶等非人類身份，實施自動化密鑰輪替，有效防止攻擊者利用洩露的令牌在雲端環境橫向移動。

AVANT擁有為過百間中小企提供網絡保安服務的豐富經驗，我們的IT團隊致力為客戶提供全面網絡風險分析，度身訂造數據安全防護措施方案，應付突發及嚴峻的網絡安全風險挑戰。

AVANT提供24/7 即時網絡支援、第三方系統安全風險評估、定期評核及更新等服務，不僅能應對當前的網路威脅，更能為企業預先佈局，防範未來可能出現的安全隱患。

如希望瞭解更多資訊安全防護機制方案，歡迎致電2177 1177 或電郵至 marketing@avant-i.com.hk聯絡我