【網絡安全資訊】駭客潛伏兩週都未被發現？看不見的「橫向移動」成企業最大惡夢

現代駭客似乎已掌握了完美的「滲透藝術」。過去，我們總期望築起防火牆就能擋住敵人。但最新的網絡安全研究顯示，戰場已經轉移到了網絡內部 。一旦駭客突破防線，他們不會馬上發動攻擊，而是像幽靈一樣在企業的系統中「橫向移動」（Lateral Movement），尋找最有價值的數據。

1. 代價高昂的「隱形」入侵

當駭客在網絡內部自由移動而不被發現時，後果是災難性的。這不再只是資料外洩，而是全面的業務癱瘓。

• 勒索金額創新高：現在的平均勒索贖金已達 360 萬美元，比去年增加了整整一百萬美元 。

• 巨額支付比例激增：支付超過 2,500 萬美元贖金的受害者比例翻了四倍，從 1.2% 激增至 5.2% 。

• 營運癱瘓：企業平均因安全事故面臨 37 小時 的停機時間，這意味著超過一天半的業務完全停擺 。

以駭客組織 Scattered Spider 為例，他們在 2025 年對英國零售商 Marks & Spencer 和 Co-op 發動攻擊，造成估計 3.5 億美元的損失；同時也入侵了澳洲航空（Qantas），導致 570 萬筆客戶記錄外洩 。

2. 駭客如何「偽裝」成企業員工？

為什麼安全團隊很難發現這些入侵者？因為駭客不再需要「駭」進系統，他們只需要「登入」。

報告顯示，攻擊者越來越擅長「躲在顯眼處」（Hiding in Plain Sight）：

• 利用被盜憑證：12.2% 的攻擊始於憑證被盜。一旦登入，他們看起來就像合法的員工 。

• 就地取材（Living-off-the-Land）：他們不使用惡意軟件，而是利用 PowerShell 或 WMI 等系統內建工具，這讓傳統防毒軟體束手無策 。

• 加密掩護：駭客利用加密通道來隱藏惡意指令，讓監控系統無法看到流量內容 。

  
  

3. 黃金兩週：攻擊者與防禦者的時間賽跑

最令人擔憂的數據在於「停留時間」（Dwell Time）。

• 潛伏期：黑客在發動勒索軟件攻擊前，平均會在網絡中潛伏近兩週 。在政府和教育部門，這個時間甚至長達七週和五週 。

• 反應滯後：與此同時，安全團隊平均也需要兩週 才能從偵測到解決一個警報 。

這是一個危險的平局。當防禦者還在處理警報時，攻擊者已經利用這段時間摸清了網絡架構、竊取了數據並鎖定了備份系統 。更有 30.6% 的受訪者表示，直到數據開始被傳輸出去了，他們才意識到自己被攻擊了 。

4. 盲點：為什麼 SIEM 和 EDR 還不夠？

許多企業投入巨資購買 SIEM（安全資訊與事件管理）和 EDR（端點偵測與回應），為何還是防不住？

可視性崩潰（Visibility Breakdown） ：

• 東西向流量盲點：SIEM 和 EDR 主要監控端點和日誌，但無法看見網絡內部的「東西向流量」（East-West traffic）。這正是黑客橫向移動的主要路徑 。

• 加密流量死角：如果無法解密流量，防禦者就只能看到通訊的存在，而看不到其中的惡意意圖 。

  
  

為什麼你需要網絡監測系統 (NMS)？

我們反覆強調了一個痛點：可視性崩潰 (Visibility Breakdown)。駭客利用這一點，在防火牆內部的「盲區」自由移動。安裝先進的網絡監測系統正是解決這些問題的關鍵：

痛點一：東西向流量的盲點 (East-West Traffic Blindspot)

• 問題：傳統的 SIEM 和 EDR 主要監控端點和日誌，但無法看見伺服器與伺服器之間的「東西向流量」。駭客一旦進入內部，就像在沒有監視器的走廊裡移動。

• 網絡監測系統的解法： 系統會直接從網絡交換器 (Switch) 獲取流量鏡像 (Port Mirroring/TAP)，全天候監控內部所有通訊。這意味著，即使駭客繞過了端點防護軟體，只要他們在網絡上移動（例如嘗試連接資料庫或掃描內部 IP），監測系統就會立即發現異常行為，讓其無所遁形。

  
  

痛點二：加密流量的掩護 (Encrypted Traffic)

• 問題：駭客利用加密通道 (SSL/TLS) 來隱藏惡意指令，讓防禦者無法看到流量內容，只能看到「有通訊發生」，卻不知道「通訊內容是什麼」。

• 網絡監測系統的解法： 先進的網絡監測系統具備即時解密能力 (Decryption)。解開加密封包，檢查其中是否隱藏了惡意負載 (Payload) 或命令控制 (C2) 指令。這讓安全團隊能以 100% 的確定性判斷流量是否惡意，而不是靠猜測。

  
  

痛點三：無惡意軟體的攻擊 (Living-off-the-Land)

• 問題：報告提到，駭客現在使用 PowerShell 或 WMI 等系統內建工具進行攻擊，因為這些是合法工具，傳統防毒軟體不會報警。

• 網絡監測系統的解法： 監測系統不依賴「病毒特徵碼」，而是依賴行為分析 (Behavioral Analysis)。它會建立網絡的「正常基準線」（例如：財務部的主機通常不會在凌晨 3 點大量讀取工程部的伺服器）。當駭客利用合法工具進行「不正常的行為」時，系統會立即偵測到這種偏差並發出警報。

  
  

痛點四：取證困難 (Forensics Challenges)

• 問題：駭客在離開前會刪除日誌 (Logs)，導致事後調查困難，安全團隊不知道駭客到底偷走了什麼。

• 網絡監測系統的解法： 系統具備全封包側錄 (Full Packet Capture) 功能。即使駭客刪除了日誌，網絡封包的紀錄是無法被篡改的。安全團隊可以回放攻擊過程，確切知道駭客接觸了哪些檔案、執行了什麼指令，從而快速評估損失並修補漏洞。

  
  

現在是時候審視您的網絡安全架構了。AVANT為客戶引入先進的網絡監測系統，消除內部的監控盲點，不僅能讓您看清潛在威脅，更能為企業省下巨額的營運風險成本。別讓企業的內部網絡成為駭客的遊樂場。

AVANT擁有為過百間中小企提供網絡保安服務的豐富經驗，我們的IT團隊致力為客戶提供全面網絡風險分析，度身訂造數據安全防護措施方案，應付突發及嚴峻的網絡安全風險挑戰

。

AVANT提供24/7 即時網絡支援、第三方系統安全風險評估、定期評核及更新等服務，不僅能應對當前的網路威脅，更能為企業預先佈局，防範未來可能出現的安全隱患。

如希望瞭解更多資訊安全防護機制方案，歡迎致電2177 1177 或電郵至 marketing@avant-i.com.hk聯絡我們的專家了解更多詳情。