【網絡保安資訊】防不勝防！駭客不再「入侵」，而是直接「登入」

業界普遍預期人工智能（AI）將徹底改變網絡威脅與防禦的格局。然而，根據全球頂尖資安研究團隊最新發布的《2026 年主動攻擊者報告》，現實情況卻出乎意料：攻擊者仍然使用多年來相同的工具、技術與程序（TTPs）。

真正讓企業防線崩潰的，不是科幻電影般的超級 AI 武器，而是最基礎的身份驗證漏洞與時間差。當企業紛紛將目光投向未知的 AI 威脅時，駭客正悄悄從前門走進您的系統。以下是報告揭示的四大關鍵趨勢與防禦指南：

1. 身份妥協：駭客不再「破門而入」，而是直接「登入」

過去的網絡保安一直強調修補系統漏洞，但數據顯示高達 67.32% 的攻擊根本原因（Root causes）與「身份妥協」（Compromised identity）有關。這包含了暴力破解、釣魚憑證、授權權杖盜用（auth-token theft）等手法。

專家直言：「攻擊者不再是強行突破系統，他們是直接登入的。」

雖然釣魚攻擊在可識別的案例中僅佔 6.35%，但其發生率相較於 2024 年已經大幅翻倍。更危險的是，駭客常利用如 FlowerStorm 這類「中間人」（adversary-in-the-middle）釣魚套件。這些偽造的登入頁面能攔截受害者的憑證與多重身份驗證（MFA）代碼，並在幾秒鐘內迅速向官方伺服器重播（replay），成功騙過系統並取得存取權限。

2. AI 武器化的真相：速度與數量的「放大器」

生成式 AI（GenAI）是否已經創造出全自主的超級駭客？答案是還沒有。報告指出，GenAI 目前為威脅環境帶來的是「速度、數量與雜訊」，而非顛覆性的革命。

GenAI 在攻擊端最大的威脅在於「民主化」（Democratization）。它讓缺乏技術背景的低階攻擊者，也能夠以前所未有的速度和規模發動釣魚攻擊。雖然這些攻擊可能不夠精緻，但海量的惡意活動與攻擊雜訊，足以讓防禦團隊疲於奔命。

3. 系統老化與遙測（Telemetry）盲區的沉重代價

儘管身份盜用是目前的主流，但未修補的漏洞依然是駭客極度依賴的後門。報告發現，在確認被利用的漏洞案件中，從廠商發布修補程式（Patch）到駭客實際利用，中位數時間竟長達 322 天。這意味著企業有將近一年的時間可以關上大門，卻錯失了機會。

此外，為了節省 IT 成本而減少收集系統的遙測數據（Telemetry），被證明是「因小失大」的錯誤決策。缺失的遙測數據讓安全團隊（Blue teamers）難以在海量雜訊中找出真正的攻擊信號，讓駭客得以在系統中無聲無息地潛伏。

4. 專挑防護真空期：缺乏全天候監測的毀滅性打擊與 NMS 的關鍵角色

報告中特別強調了一項極具威脅性的戰術規律：絕大多數的關鍵攻擊活動（例如部署勒索軟件與執行數據外洩）都集中發生在深夜、週末或公眾假期等「非辦公時間」。

缺乏全天候監測的毀滅性代價： 傳統依賴「朝九晚六」的 IT 支援模式已完全失效。在沒有 24/7 監控的情況下，即便只是凌晨 2 點到早上 9 點這 7 個小時的「防護真空期」，對企業而言也是致命的。現今的駭客利用自動化腳本，能在短短數十分鐘內完成權限提升（Privilege Escalation）、橫向移動（Lateral Movement）並開始大規模竊取數據。當員工翌日早上回到辦公室時，往往只剩下已被全面加密的核心伺服器和天價的勒索訊息。

引入網絡監測系統（NMS）的迫切性： 要打破這種被動挨打的局面，單靠安裝在員工電腦上的終端防毒軟件已遠遠不夠。企業必須引入網絡監測系統（Network Monitoring System, NMS）。NMS 就像是企業網絡的「全天候智能雷達」，不受員工上下班時間限制，無間斷地審視每一滴流經網絡的數據。

NMS 如何成為逆轉戰局的核心？

• 即時行為異常偵測（Anomaly Detection）：NMS 不依賴傳統的病毒特徵碼，而是基於機器學習建立網絡的「正常行為基準」。例如，如果系統發現某部平時只處理文書的前堂電腦，在凌晨 3 點突然向海外不明 IP 傳送大量加密數據（Data Exfiltration），NMS 會立即觸發最高級別警報，並可聯動防火牆即時阻斷連線。

• 捕捉隱蔽的橫向移動（Lateral Movement Visibility）：駭客騙取普通員工帳戶後，必定會在內部網絡中悄悄移動，尋找高權限的數據庫或 AD（Active Directory）伺服器。傳統邊界防火牆無法看見內部網絡的動靜，而 NMS 能深入分析伺服器與伺服器之間的「東西向流量（East-West Traffic）」，讓這些隱蔽活動無所遁形。

• 提供不可篡改的鑑證軌跡（Forensics Capability）：高階駭客在完成攻擊後，通常會刪除終端設備上的日誌（Logs）以消滅罪證。但 NMS 位於網絡基礎設施層面，具備網絡封包層級的側錄與分析能力，能保留完整的通訊軌跡。即使設備日誌被毀，資安團隊仍能準確追溯駭客的入侵路徑與受影響的數據範圍。

  
  

管理者現在該怎麼做？

面對 2026 年的威脅環境，企業必須從根本上調整防禦策略：

• 部署 NMS 建立全天候「透明度」：消除內部網絡的盲區，確保 IT 與安全團隊擁有即時的網絡可視性（Visibility）。若內部資源不足，應結合託管式偵測及回應（MDR）服務或 24/7 的外部安全營運中心（SOC），確保 NMS 發出的夜間警報能被即時處理。

• 落實「預防勝於偵測」：與其花費大量時間與資源在事後偵測與應對，不如將重心放回前端的預防控制與嚴密的存取權限管理。

• 升級身份驗證機制：面對 MFA 攔截與未綁定的會話權杖（unbound session tokens）重播攻擊，企業應在 Microsoft 365 等核心系統中強制實施權杖保護（Token Protection），確保會話權杖與特定設備綁定。

  
  

AVANT為客戶引入先進的網絡監測系統，消除內部的監控盲點，不僅能讓您看清潛在威脅，更能為企業省下巨額的營運風險成本。別讓企業的內部網絡成為駭客的遊樂場。

AVANT擁有為過百間中小企提供網絡保安服務的豐富經驗，我們的IT團隊致力為客戶提供全面網絡風險分析，度身訂造數據安全防護措施方案，應付突發及嚴峻的網絡安全風險挑戰。

AVANT提供24/7 即時網絡支援、第三方系統安全風險評估、定期評核及更新等服務，不僅能應對當前的網路威脅，更能為企業預先佈局，防範未來可能出現的安全隱患。

如希望瞭解更多資訊安全防護機制方案，歡迎致電2177 1177 或電郵至 marketing@avant-i.com.hk聯絡我們的專家了解更多詳情。