Sophos 發布《2025 Sophos 主動攻擊者報告》,揭露攻擊者在 2024 年超過 400 起託管式偵測與回應 (MDR) 及事件回應 (IR) 案例中的行為模式與技術手法。報告顯示,攻擊者取得網路初始存取權的主要方式 (占所有 MDR 與 IR 案件的 56%) 是利用有效帳號來攻擊外部遠端服務,其中包括邊緣設備,如防火牆與 VPN。
攻擊者用合法帳號從遠端登入系統,這種方式正好就是大多數攻擊發生的主要原因之一。連續第二年,「帳號憑證遭入侵」是最主要的攻擊根本原因 (占 41%),其次為「已遭利用的漏洞」(21.79%) 以及「暴力破解攻擊」(21.07%)。
瞭解攻擊速度
在分析 MDR 與 IR 調查時,Sophos X-Ops 團隊特別針對勒索軟體、資料外洩與資料勒索等案例,評估攻擊者在組織內部攻擊各階段的推進速度。在這三種類型的案件中,從攻擊開始到資料外洩的中位時間僅為 72.98 小時 (約 3.04 天)。此外,從資料外洩到攻擊被偵測的中位時間僅為 2.7 小時。
Sophos 外勤首席資安長 John Shier 表示,被動式防護已無法滿足現今的需求。雖然預防依然重要,但快速回應才是關鍵。企業必須主動監控網路環境,並針對觀察到的遙測數據迅速採取行動。面對具備動機強烈的攻擊者所發動的協同攻擊,企業也需要採取協同防禦。對許多組織而言,這代表必須結合自身的業務知識與專家主導的偵測與回應能力。報告證實,具備主動監控機制的組織能更快偵測攻擊,並獲得更佳的防禦成果。
《2025 Sophos 主動攻擊者報告》其他重點發現:
- 攻擊者最快 11 小時內即可掌控系統:攻擊者從發動初始行動到首次 (且經常成功) 嘗試入侵 Active Directory (AD) 之間的中位時間僅為 11 小時。AD 可說是任何 Windows 網路中最重要的資產之一,一旦遭入侵,攻擊者將更容易全面控制組織。
- Sophos 案例中最常見的勒索軟體集團:2024 年最常見的勒索軟體集團為 Akira,其次是 Fog 和 LockBit (即使年初已有多國政府聯手打擊 LockBit,該集團仍然活躍)。
- 平均潛伏時間降至僅 2 天:整體潛伏時間 (從攻擊開始到被偵測的時間) 自 4 天降至 2 天,主要歸功於納入了 MDR 案件資料,對結果產生了重要影響。
- IR 案件中的潛伏時間:在 IR 案件中,勒索軟體攻擊的潛伏時間維持在 4 天,而非勒索軟體攻擊的潛伏時間則為 11.5 天。
- MDR 案件中的潛伏時間:在 MDR 調查中,勒索軟體攻擊的潛伏時間僅為 3 天,非勒索軟體攻擊則縮短至僅 1 天,顯示 MDR 團隊能更快速偵測與回應攻擊。
- 勒索軟體集團偏好深夜行動:2024 年有 83% 的勒索軟體執行檔是在目標企業的非上班時間部署。
- 遠端桌面通訊協定 (RDP) 持續成為濫用重災區:RDP 涉及 84% 的 MDR/IR 案件,是遭濫用最頻繁的 Microsoft 工具。
為強化防禦,Sophos 建議企業採取以下措施:
- 關閉暴露的 RDP 連接埠
- 儘可能使用可防網路釣魚的多重要素驗證 (MFA)
- 及時修補存在漏洞的系統,特別是面向網際網路的裝置與服務
- 部署 EDR 或 MDR,並確保進行 24 小時不間斷的主動式監控
- 建立完整的事件回應計畫,並定期透過模擬演練或情境推演來驗證其效用