【網絡保安資訊】防線轉移！公開應用程式與供應鏈成駭客最大突破口

過去幾年我們經常強調「保護好員工密碼」的重要性。然而，隨著企業 IT 架構日益複雜，駭客的攻擊策略也發生了根本性的轉變。

根據一個全球頂尖網絡安全研究團隊最新發布的《2026 年威脅情報指數》報告 ，雖然生成式 AI（GenAI）與勒索軟件仍是熱門話題，但真正讓企業門戶大開的，卻是那些暴露在互聯網上的應用程式與脆弱的軟件供應鏈 。

面對 2026 年的網絡安全挑戰，企業管理者與 IT 團隊必須重新審視防禦焦點。以下是報告中揭示的四大關鍵趨勢與應對指南：

1. 攻擊手法洗牌：公開應用程式漏洞超越「憑證盜用」

過去兩年，濫用有效憑證（Valid Credentials）一直是駭客首選的初始入侵途徑 。但在 2025 年，情況出現了戲劇性的逆轉 。

報告指出，針對「公開應用程式（Public-facing applications）」的漏洞利用激增了 44% 。這種攻擊手法目前佔所有入侵案件的 40% ，正式超越了有效憑證（32%），成為駭客最主要的初始存取媒介 。

所謂「公開應用程式」，是指任何直接暴露於互聯網，允許外部用戶（如客戶、合作夥伴或遠端員工）存取與互動的軟件系統或服務。常見的例子包括企業的官方網站、網上銀行門戶、VPN 登入閘道、Webmail 伺服器（如 Microsoft Exchange）以及供手機 App 呼叫的應用程式介面（API）。正因為它們的運作性質必須長期對外開放，這些應用程式自然成為了駭客在互聯網上日夜掃描與攻擊的「活靶」。

更令人擔憂的是，在該團隊追蹤的近 40,000 個漏洞中，高達 56% 的漏洞完全不需要身份驗證就能被成功利用 。這意味著攻擊者無需盜取密碼，甚至不需要與內部員工互動，就能直接從外部攻破系統 。

2. 供應鏈與 SaaS 成為「骨牌效應」的起點

企業對第三方軟件與雲端服務的依賴，正被駭客轉化為大規模攻擊的武器。報告顯示，在過去 5 年間，重大的軟件供應鏈與第三方資料外洩事件增加了近 4 倍 。

現今的攻擊者越來越傾向於將目標鎖定在軟件開發環境（如 GitHub、GitLab）以及核心的 SaaS 平台 。例如被稱為 Scattered Spider 的知名駭客組織，便擅長利用社交工程攻破 IT 支援服務或身份驗證供應商，再橫向潛入眾多下游客戶的系統中 。在這種高度互聯的生態中，一個供應商的弱點，往往會導致多間企業同時受害 。

3. AI 成為雙面刃：AI 聊天機器人帳戶淪為駭客新目標

AI 不僅改變了企業的運作方式，也改變了駭客的攻擊效率。生成式 AI 讓攻擊者能大幅縮短決策週期、擴大社交工程的規模，並實時調整攻擊路徑 。同時，AI 的普及也降低了技術門檻，讓低技術水平的攻擊者也能快速發動攻勢 。

隨著員工頻繁使用 AI 聊天機器人處理公務，這些平台也成為了資料外洩的新熱點 。在 2025 年，暗網上出現了超過 30 萬個被掛牌出售的 ChatGPT 憑證 。這些帳戶大多是由植入在用戶終端設備上的資訊竊取惡意軟件（Infostealers）所截獲 。這清楚地警告企業：AI 平台已經面臨與核心企業 SaaS 應用同等嚴峻的憑證風險 。

4. 基礎網絡安全衛生（Security 101）依然不及格

儘管面對各種高階威脅，但導致企業失守的往往是最低級的錯誤 。透過紅隊（Red Team）滲透測試發現，錯誤的存取控制設定（CAPEC-180）、密碼暴力破解（CAPEC-49）以及不安全的程式碼（CAPEC-242），依然是企業環境中最常見的系統性弱點 。

此外，製造業（27.7%）連續第五年成為受攻擊最嚴重的行業 ，金融保險業（27%）則緊隨其後 。駭客的最終目的非常明確：在所有事故中，憑證獲取（26%）與數據外洩（19%）是受害企業面臨的兩大最主要衝擊 。

5. 香港專屬警號：首條網絡安全法 2026 年生效，合規壓力迫在眉睫

面對上述層出不窮的針對性攻擊（特別是針對關鍵設施與供應鏈的威脅），香港政府已採取實質行動。首個網絡安全法案——《保護關鍵基礎設施（電腦系統）條例》（Protection of Critical Infrastructure (Computer Systems) Ordinance）已正式通過並於 2026 年 1 月 1 日起生效 。

這項法例涵蓋了八大被視為對社會運作至關重要的行業，包括能源、資訊科技、銀行與金融、航空、陸路與海上交通、醫療保健，以及電訊和廣播服務 。

法例對企業帶來的骨牌效應與沉重壓力： 被指定的「關鍵基礎設施營運者」（CIOs）將面臨極其嚴格的法定責任，包括必須設立電腦系統安全管理部門、每年進行網絡安全風險評估、每兩年進行一次合規審計，以及在極短的法定時限內通報資安事故 。違例者最高可被罰款 500 萬港元，並可能面臨每日額外罰款 。

千萬別以為你的企業不在這八大行業內就能置身事外。正如上述報告指出的「供應鏈風險」，新法例的合規要求將無可避免地向下游延伸。CIOs 為了確保自身合規並避免巨額罰款，勢必會嚴格審查其第三方服務供應商、IT 外判商與軟件供應鏈的資安水平 。這意味著，無論你是提供 SaaS 服務還是技術支援，只要你的系統與這些關鍵基礎設施有業務往來，你同樣需要面對極高的資安審查與合規壓力，甚至需要在合約中承擔相應的網絡安全責任 。

管理者現在該怎麼做？

面對 2026 年的雙重夾擊——日益猖獗的外部黑客與即將生效的嚴格法規，防禦策略必須從「被動回應」轉向「主動預防與合規管理」：

• 徹底清查與修補公開資產：企業必須嚴格落實漏洞管理，優先修補那些「無需身份驗證」的對外漏洞，這不僅是防駭的基礎，也是滿足新法例「採取技術措施防止網絡攻擊」的基本要求。

• 準備迎接法定資安審計與風險評估：企業應立即針對現有的電腦系統進行全面審視，找出與新法例要求（如事故通報機制、緊急應變計劃等）的差距 。

• 重新審視第三方與供應鏈合約：主動檢視與客戶或第三方服務供應商的合約，更新有關資料外洩賠償、審計權利及服務水平的條款 ，確保在供應鏈攻擊發生時能釐清責任，並符合關鍵基礎設施營運者的合規期望。

• 將身份保護視為「關鍵基礎設施」：統一管理員工、客戶與機器的身份存取權限，導入基於 AI 的身份威脅偵測技術防範憑證盜用。

  
  

AVANT擁有為過百間中小企提供網絡保安服務的豐富經驗，我們的IT團隊致力為客戶提供全面網絡風險分析，度身訂造數據安全防護措施方案，應付突發及嚴峻的網絡安全風險挑戰。

AVANT提供24/7 即時網絡支援、第三方系統安全風險評估、定期評核及更新等服務，不僅能應對當前的網路威脅，更能為企業預先佈局，防範未來可能出現的安全隱患。

如希望瞭解更多資訊安全防護機制方案，歡迎致電2177 1177 或電郵至 marketing@avant-i.com.hk聯絡我們的專家了解更多詳情。