全部文章分享

           本文擷取自資安人

Check Point Software Technologies Ltd. 發佈 2026 年網路安全趨勢預測，指出明年技術融合與自主系統的崛起將重新定義全球韌性，AI 將是連接雲端、網路與實體系統的核心樞紐；量子研究正在挑戰數位信任基礎，而 Web 4.0 正將互聯網轉化為沉浸式、持續運行的現實層；企業更需重視整合運用，將預防、可視性與敏捷融入營運。以下預測匯集 Check Point 研究人員、戰略專家及各區域領導者的洞察，分析來年可能影響網路安全的關鍵。
AI 躍升內外戰略決策核心，由快速導入轉向責任使用
隨企業內部持續廣泛導入 AI，企業將面臨首次重大校正，過去無人監管的系統、暴露的 API、影子 AI 與合規風險紛至沓來，AI 將從實驗走向問責，企業需量化成果、建立 AI 保證框架，審計公平、穩健與安全性並納入企業治理。此外，代理式 AI（Agentic AI）正從內容生成助手進化為能自主決策的智慧代理，企業需建立 AI 治理委員會、政策防護機制及不可更改的審計追蹤，確保自主決策在可控範圍內。

企業防線新考驗，迎戰 AI 信任詐騙與提示詞入侵
於資安層面，AI 正廣泛影響企業外部攻防對抗。生成式 AI 模糊真偽界線，商業電子郵件攻擊正演變為結合深度偽造（Deepfake）、自適應語言與情感操控的信任式詐欺，迫使企業將身分安全從憑證驗證延伸至行為驗證、設備一致性、地理位置與互動模式，在每次互動中皆須持續驗證身分、情境與意圖；同時，提示詞注入（Prompt Injection）攻擊手法日益盛行，使 AI 成為劫持工作流程、重新導向操作或執行未授權任務的工具，企業更需保護 AI 資訊管道，落實嚴格過濾、驗證與安全防護機制。
 
當由 AI 驅動的攻擊變得更快、更廣且更精準，將迫使企業投入開發持續學習、即時情境分析與自主操作支援等對應防禦能力，安全團隊也需調整行動優先級、理解風險與回應協調，並提升防禦技能、簡化流程、縮短平均修復時間（MTTR），確保預防與偵測跟上威脅。

新興技術雙重挑戰，沉浸式應用崛起與量子風險逼近
新興技術正同時推動使用者體驗升級與資安模式轉變。至 2026 年，Web 4.0 將透過作業系統層級整合空間運算、數位分身與 AI，搭配 XR、AR 與 VR 應用，使工程師能以即時虛擬模型模擬維護、測試修補程式或將風險可視化。然而，沉浸式應用普及也將衍生互通性與資料保護挑戰，企業因此亟需建立一致且可擴展的安全架構。
 
此外，量子技術風險日益顯現，攻擊者正以「先收穫、後解密（HNDL）」策略，先竊取資料，待量子解密能力成熟後再行回溯破解，推動企業加速從易受攻擊的 RSA 與橢圓曲線密碼學（ECC）演算法，轉向後量子密碼學（PQC）標準，並從規劃因應之道走向實際落地執行，包括建立加密材料清單（CBOM）編錄其環境中所有演算法、憑證與金鑰、試用美國國家標準暨技術研究院（NIST）認可的 PQC 演算法，同時要求供應商提供明確移轉時程，以因應迫在眉睫的威脅。

資安進入「當責、韌性與持續風險管理」時代
威脅型態持續演變，勒索攻擊已升級為「資料施壓行動（Data-Pressure Operations）」，透過策略性選擇外洩時機，放大受害企業的法律責任、聲譽損害與監管成本，其損害往往高於贖金，迫使企業在事件回應中結合法務、快速驗證被竊資料及防範曝光措施。同時，供應鏈與 SaaS 系統的高度互聯也增加潛在風險，企業應將風險可視範圍擴展至第四方供應商，並採取持續監控與自動化評分。
 
此外，國家資助攻擊者正鎖定邊緣設備作為「無聲立足點」，利用多渠道、AI 驅動的社交工程模仿受害者行為，利用生成式 AI 模型打造具說服力的溝通內容、自適應互動模式，以及逼真的數位人格，使依賴靜態訊號、一次性驗證的身分確認及 KYC 機制失效，企業須採行基於行為訊號、情境評分與即時異常偵測的「持續身份驗證」，才能建立真正的防護韌性。
 
在此背景下，全球監管趨勢正驅動企業治理結構性轉型，歐盟 NIS2 指令、人工智慧法與美國 SEC 資安事件揭露規範等皆強調網路安全需可即時衡量與驗證，透過自動化合規監控、機器可讀策略、即時鑑證（Attestation）和 AI 風險分析，董事會與高層亦將承擔監督責任，顯現網路韌性已成市場准入的核心條件。
 
針對 2026 年資安預測，Check Point 提出四項核心原則。


預防優先（Prevention-First）：在攻擊發生前預測並阻止攻擊
AI-First 安全（AI-First Security）：負責任地使用 AI，領先於自主威脅
保護連接織網（Securing the Connectivity Fabric）：將每個設備、資料流和雲端服務作為統一生態系統加以防護
開放平台（Open Platform）：統一企業範圍內的可見性、分析與控制

採用這些原則的企業將從「應對威脅」轉變為「管理威脅」，此外，企業亦可從建立 AI 管理委員會、在關鍵業務領域開展數位分身試點、啟動與 NIST 標準一致的 PQC 清單項目、投資可預測和預防威脅的 AI 安全、採用自動風險評分的持續供應商保證，以及培訓團隊等方面著手，透過將預防、透明度和敏捷性融入企業營運，駕馭技術浪潮，塑造數位復原力。

          本文擷取自資安人

2025 年對勒索軟體生態系而言，是充滿變化的一年。Sophos 研究人員已針對 GOLD BLADE (又名 RedCurl、RedWolf、Earth Kapre) 的手法演進發布詳細研究。

自 2018 年現身以來，該組織持續調整並精進其入侵手法，但長期以來皆與企業間諜攻擊活動相關。他們的攻擊具有高度針對性，且未設置資料外洩網站，顯示該組織可能以「駭客服務 (hack-for-hire)」模式運作。

然而，2025 年 4 月，Sophos 分析人員觀察到該組織開始選擇性部署 QWCrypt 勒索軟體 (最早由 Bitdefender 回報)。此後 Sophos 分析人員持續發現 GOLD BLADE 在特定目標中使用該勒索軟體，顯示該威脅行為者除了受委託執行間諜活動外，可能也開始自行啟動入侵行動直接牟利。

最新觀察顯示，其手法包含以前所未見的方式濫用招聘平台 (例如求職網站、人才媒合平台)、更新與調整過的攻擊傳播鏈，以及擴展為結合資料竊取與勒索軟體部署的混合型運作模式，以達成攻擊目的。

GOLD BLADE 能在間諜活動與勒索攻擊之間轉換，且不斷演進的能力，再次突顯企業必須建立對威脅的認知，並強化自身防禦。
建議
GOLD BLADE 會濫用招聘平台、交替出現休眠與爆發期的行為，以及持續最佳化攻擊手法，展現出遠超一般以牟利為動機的攻擊者的運作成熟度。除了利用各種合法程式 (LOLBins)，該組織還維護一套完善且組織良好的攻擊工具，包括修改版的開源工具和自訂的二進位檔，以建立多階段的惡意軟體傳導鏈。GOLD BLADE還自製加密鎖定工具 (locker)，並能在間諜活動和勒索軟體間靈活切換，進一步表明該組織尚在不斷進化，企業必須加強防禦。

請透過員工訓練識別出釣魚攻擊和潛在的惡意履歷，並建議他們在招聘平台 (如LinkedIn) 下載履歷出現錯誤 (例如檔案損壞、連結失效或安全警告) 時，千萬不要為了「取得履歷」而忽略錯誤，直接點擊外部提供的替代連結下載。因為駭客常常利用此一漏洞，偽造履歷並誘導人資人員下載含惡意軟體的檔案，進而感染企業系統。

同時，將重要的業務資料離線或於備份於隔離環境中，也是限制攻擊影響並加快復原的好做法。此外，以下技術方法可有效對抗已知的 GOLD BLADE 攻擊策略：


強化招聘流程：考慮讓招聘平台的附件先經過電子郵件及安全閘道檢查，再交由人資審閱，或自動隔離含有嵌入連結、巨集或重新導向的履歷。企業也可以使用安全的文件檢視器，在沙箱瀏覽器或僅支援 PDF 格式的檢視器中開啟履歷。
 
優先確保端點受到防護與監控：確保所有端點 (伺服器或工作站) 都接受中央管理並保持最新防護。全面的日誌應成為現代環境的基本需求，以確保可以掌握受影響的資料，這對補救及回應合規與法律要求非常重要。
 
部署託管式偵測與回應 (MDR) 解決方案：擁有偵測與攔截工具固然重要，但若偵測後無行動則效果有限。必須有訓練有素的分析師積極監控、調查及回應警報，確保全面防護。

          本文擷取自資安人

AI 正在重塑企業資安的樣貌。從威脅偵測、事件應變到防護決策，AI 技術的導入正加速資安維運流程的革新，也讓威脅回應時間產生質變。Check Point 台灣區總經理劉基章指出，自 2023 年起，AI 不僅改變人們的生活，也為企業與個人資安帶來前所未有的衝擊。駭客利用 AI 發動攻擊已成新常態，防守方必須用更智慧的方式回應這場AI競賽。

根據 Check Point Research 調查，生成式 AI（GenAI）已能將漏洞攻擊源碼武器化，快速完成概念驗證（PoC）與自動化探勘。已有駭客組織利用這些工具與攻擊腳本滲透企業網路、竊取資料。Check Point 台灣技術總監傅國書說明，以釣魚郵件為例，AI 可在短時間內自動生成惡意網域與偽冒網站，甚至打造出與受害者背景高度相關的郵件內容。未來的釣魚站台幾乎都會是全新生成的網站，傳統比對與聲譽資料庫將難以因應，這是多數企業尚未準備好的挑戰。
AI助攻防禦：ThreatCloud AI與智慧維運
「我們每天面臨的詐騙簡訊、釣魚郵件、網路攻擊，都已經帶有 AI 的影子，但同樣地，防守方也能以 AI 對抗 AI。」劉基章表示。Check Point 的 ThreatCloud AI 集結超過 95 種威脅分析引擎，其中半數以上由 AI 驅動，能針對未知惡意程式、DNS 流量與釣魚網址進行多層過濾，大幅提升偵測速度與準確度，並降低誤報率。當使用者連結至疑似釣魚網站時，ThreatCloud AI 會即時比對可疑內容、阻擋威脅並同步更新全球威脅資料庫，讓所有客戶都能即時獲得防護。

在維運層面，Check Point 也率先導入 AI 協助安全管理。例如 Infinity Co-Pilot 等 AI 工具，可自動化日誌分析、事件調查、報表產出、系統態勢等工作。AI資安不只提升威脅分析的精確度，也能改善管理維運效率，有效提升工作表現並降低資安人員負擔。

Securing AI：保護企業AI投資的新課題
當 AI 應用快速滲透企業營運後，CIO 們最憂心的不只是外部攻擊，而是 AI 開發與使用過程中的資料外洩與誤用風險。劉基章指出，許多企業正積極部署 AI 專案，卻忽略了生成式 AI 帶來的資料安全挑戰，這將成為下一波資安風險熱點。

傅國書分析，AI 安全可分為三個層面：AI 基礎設施、AI 代理與應用程式，以及 AI 使用者。


在基礎設施層面，Check Point 與 NVIDIA 合作推出 AI Cloud Protect，於 RTX PRO 伺服器與 BlueField-3 DPU 上提供即時 IPS 與 Run-time 防護，不耗用 AI 伺服器算力，即可抵禦針對 AI 運算環境的攻擊。
 
在應用層面，針對惡意提示詞（Malicious Prompt）與 AI 模型越獄風險，Check Point 近期併購 AI 資安新創 Lakera，整合其擁有 8,000 萬筆 Prompt 攻擊樣本的防護模型至 CloudGuard WAF 中，協助偵測與阻擋 AI 應用的異常互動行為。
 
在使用者層面，Check Point 推出 GenAI Protect 方案，透過端點或 SASE 環境中皆可透過輕量化瀏覽器插件功能，盤點並控管 GenAI 工具使用狀況與風險，一旦偵測到傳輸源碼、機敏資料上傳行為，可提供可視性分析並即時阻擋，全盤掌握 GenAI 應用。


AI First：以 AI 為核心的資安未來
劉基章強調：「AI 正改寫攻防規則。唯有讓 AI 成為防禦的核心力量，企業才能在 AI 時代確保應用創新與安全並進。AI First 將會是 Check Point 接下來的核心策略，以 AI 為中心，重塑數位信任，保障企業 AI 投資。」Check Point 的 Infinity Platform 結合 AI 驅動的防護能力、Hybrid Mesh 架構與外部曝險管理，為企業奠定 AI 世代的資安標準與最佳實踐模式。

           本文擷取自資安人

Sophos 宣布推出新的整合功能，可將旗下的威脅情報平台 Sophos Intelix 連結到 Microsoft Security Copilot 及 Microsoft 365 Copilot。該整合於舊金山 Microsoft Ignite 大會上推出，讓各種規模的組織能在由 Microsoft AI 驅動環境中即時取用 Sophos 威脅情報，以強化防護並更快速有效地回應威脅。 

Sophos Central 平台每天處理超過 223 TB 的遙測資料，產生超過 3,400 萬次偵測並自動阻擋超過 1,100 萬個威脅。這種來自全球客戶所產生的大規模洞察持續強化 Sophos 的產品與服務，並成為 Sophos Intelix 情報能力的重要驅動來源。現在 Microsoft Security Copilot 與 Microsoft 365 Copilot 用戶可免費使用這項情報。 

這一里程碑凸顯了 Sophos 的使命：為每個組織提供具韌性且智慧化的資安能力，並普及資安技術。無論企業處於資安旅程的任何階段，都能在 Microsoft Copilot 生態系統中獲得適切的支援。
Sophos Intelix for Microsoft Security Copilot 
Sophos Intelix 可直接為 Microsoft Security Copilot 這個用於安全營運中心和 IT 團隊的生成式 AI 助理提供進階威脅內容與強化能力。Security Copilot 能整合 Defender、Sentinel、Intune、Entra 與 Purview 等平台資料，讓分析人員與資安專家能以自然語言查詢並調查威脅，同時搭配 Sophos 團隊保護超過 60 萬家組織累積的威脅洞察進行強化分析。這些團隊通常全年無休地保護企業，隨時掌握最新威脅情報以有效維護組織安全。  

透過此整合，資安分析師與 IT 團隊能： 


利用 Sophos Intelix 情報與沙箱動態分析，加速警示補強與事件分類  
透過檔案、URL 與 IP 名譽查詢，調查入侵指標 
在 Security Copilot 中直接取得 Sophos X-Ops 的全球洞察與威脅普及度資料 
Sophos Intelix 也將上架到 Microsoft 全新的 Security Store，提供第三方代理、MCP 服務與 API 使用


Sophos Intelix for Microsoft 365 Copilot 
Sophos Intelix 也整合至 Microsoft 365 Copilot，讓使用者能在 Teams 與 Microsoft 365 Copilot Chat 等日常生產力工具中輕鬆取得全面威脅情報。 

在 Microsoft 365 中，IT 管理者、風險管理者與商務使用者可以： 


在 Microsoft 365 Copilot Chat 與 Microsoft Teams 中直接以自然語言查詢 Sophos 情報 
檢查連結、檔案或網域是否涉及已知惡意活動
在日常使用的生產力工具中，增強資安判斷與威脅意識

透過將這些能力整合至 Microsoft 365 Copilot，Sophos 讓各種規模的企業都能在不離開工作流程的前提下，做出更快速、資訊更充分的安全決策。這項整合進一步落實了 Sophos 的願景：讓更多人都能取得進階的資安洞察，並使 Microsoft 365 Copilot 使用者能擁有與資深 SOC 團隊相同層級的資安情報。

Sophos Intelix 在 Microsoft Agent 365 上的功能 
Sophos Intelix 也將與 Microsoft 日益擴大的 Copilot 與代理生態系統整合，將 Sophos 的資安情報擴展到整個 Microsoft 365 生態系統。透過 Entra 身分驗證管理，這項整合讓企業能將 Sophos Intelix 納入他們的代理程式組合，並具備全面的監控與規範遵循能力。
 
Microsoft Agent 365 作為 AI 代理程式的控制平台，讓企業能將現有的基礎架構、應用程式和安全防護擴展到代理程式上，同時使用經過調整以滿足代理程式需求的熟悉功能。  

這些整合共同進一步強化了 Sophos 的承諾，無論企業在 Microsoft 代理程式生態系統中的哪個環節運作，都能取得先進的資安情報。 

滿足防禦者不斷提升的需求 
AI 正加速改變全球各個產業，資安領域也不例外。安全團隊面臨大量警示，但通常缺乏足夠資源來應對，其中以中小型企業受影響最為嚴重。根據《Sophos 中小企業資安技能缺口報告》，96% 的受訪者表示調查警示相當困難；75% 表示難以快速完成事件處置。  

同時，攻擊者的行動正加速：根據《Sophos 2025 年主動攻擊者報告》，資料外洩平均僅需三天即可開始，從外洩到被偵測的中位時間僅 2.7 小時，攻擊者甚至可能在短短 11 小時內就取得 Active Directory 的存取權限。這些發現凸顯了防禦者迫切需要採用更快速、更有效的方法來分析和調查警示訊息。 

由深度情報所支援 
透過將 Sophos Intelix 帶入 Microsoft Copilot 生態，Sophos 讓威脅情報更普及，協助組織加速分析、縮短回應時間並提升資安成果。 

Sophos 首席科學研究長 Simon Reed 表示，Microsoft Copilot 生態正在改變人們與技術的互動方式，將自然語言轉變為核心操作介面。SOC 的效率正從舊有 GUI 模式，走向人機協作的新典範。由龐大資料、深度威脅情報與先進系統驅動的 AI 助理，正在重塑分析師的工作方式。透過將 Sophos 威脅情報提供至 Microsoft Security Copilot 與 Microsoft 365 Copilot，我們讓防禦者得以以更自然、更快速、更精準的方式回應威脅。

Microsoft Security 企業副總裁 Vasu Jakkal 表示，AI 是防禦者的能力倍增器，當 Sophos 等合作夥伴將其代理式創新帶入 Microsoft Copilot 生態，影響力將呈倍數成長。我們不僅是在打造工具，而是在開創協同式智能資安防禦的新時代。

            本文擷取自資安人

根據 Check Point Research 最新報告，2025 年第三季共觀察到 85 個活躍的勒索軟體與勒索團體，創下歷史新高。這個數字反映勒索軟體生態系正經歷分散化趨勢。過去由少數勒索軟體即服務（RaaS）主導的集中式市場，如今已分裂成數十個規模較小、存續時間較短的獨立組織。

該季度共有 85 個外洩網站發布 1,590 名受害者資料，平均每月 535 件。值得注意的是，前十大團體僅佔所有受害者的 56%，較今年稍早的 71% 明顯下降。許多小型攻擊者發布的受害者數量不到 10 個，顯示傳統 RaaS 架構之外的獨立作業正在增加。
執法行動效果有限
今年針對 RansomHub 和 8Base 等團體的多起高調執法行動，並未有效降低勒索軟體的整體活動量。問題核心在於結構性因素：執法單位通常只能拆除基礎設施或查封網域，無法真正打擊執行攻擊的附屬組織成員。當一個平台倒下，這些攻擊者只需數日就能分散並重新集結，形成更廣泛、更具韌性的生態系統。

這種分散化也削弱了勒索軟體市場的可信度。規模較小、存續時間短的團體缺乏誘因履行贖金協議或提供解密金鑰。受害者對攻擊者承諾的信任度下降，付款率因此持續降至僅 25% 到 40%。

LockBit 5.0強勢回歸
2025年9月，LockBit 5.0 強勢回歸，標誌著這個網路犯罪界最持久品牌的復出。管理者 LockBitSupp 在2024年 Operation Cronos 行動中遭到打擊，經過數月醞釀後推出新版本。LockBit 5.0 提供更新的 Windows、Linux 和 ESXi 變種，具備更快的加密速度、改良的規避能力，並為每個受害者提供獨特的協商入口。

延伸閱讀：LockBit 5.0勒索軟體現身 跨平台攻擊能力再升級

首月至少有十多名受害者遭到攻擊，顯示附屬組織重拾信心，技術也更加成熟。對攻擊者而言，加入 LockBit 這類知名品牌能獲得小型團體無法提供的關鍵優勢：聲譽。受害者相信大型 RaaS 計畫會謹慎維護信用、確實提供解密金鑰，因此更願意支付贖金。

若 LockBit 成功吸引尋求穩定架構與信譽的附屬組織，可能重新整合勒索軟體經濟的重要版圖。集中化帶來雙面效應：一方面讓追蹤工作更為容易，另一方面也放大了協同攻擊的潛在規模。

DragonForce 的品牌策略
DragonForce 展示了另一種生存策略：透過品牌建立能見度。該團體於 9 月在地下論壇公開宣稱與 LockBit 和 Qilin 結盟。儘管尚未驗證共享基礎設施，這些聯盟更具象徵意義而非實際運作。這些行動凸顯勒索軟體正朝企業式行銷演進。DragonForce 透過附屬組織合作公告、資料稽核服務和公關活動來展現實力與可靠性。

延伸閱讀：勒索軟體「卡特爾聯盟」成形　朝日啤酒遭攻擊損失恐達 3.35 億美元

地理與產業趨勢
2025年第三季的全球攻擊目標大致延續先前趨勢，但出現明顯的區域與產業變化：


美國約佔所有受害者的一半，持續成為財務導向攻擊者的首要目標。
南韓首次進入全球前十，主要因為 Qilin 針對金融機構的集中攻擊。
歐洲仍維持高度活躍，德國和英國持續面臨 Safepay 和 INC Ransom 的壓力。

產業方面：


製造業和商業服務各佔約 10% 的案例。
醫療保健業維持在 8%，儘管 Play 等團體為減少關注而刻意避開該產業。

這些轉變顯示勒索軟體更多是由商業邏輯而非意識形態驅動。攻擊者鎖定擁有高價值資料且無法容忍停機的產業和地區。

未來展望與防護建議
2025年第三季確認了勒索軟體的結構性韌性。執法和市場壓力無法抑制整體活動量，只能重塑生態樣貌。每次打擊行動都使攻擊者分散，但他們很快就以新名義重新出現，或加入新興團體。LockBit 的回歸增添了另一層複雜性：勒索軟體是否正進入新一輪整合週期？

對資安專業人員而言，追蹤特定勒索軟體品牌已不足夠，分析師必須監控附屬組織的變化、注意基礎設施的重疊使用，並理解經濟誘因才是勒索軟體即使面臨破碎化，仍能持續存在的根本力量。

本文轉載自 TheHackerNews。

            本文擷取自資安人

Check Point Software Technologies Ltd. 攜手近期收購專注於 Agentic AI 應用的 AI 原生安全平台 Lakera，以及英國人工智慧安全研究所（簡稱 AISI）共同宣布推出開源安全評估工具：骨幹破壞基準測試（backbone breaker benchmark），此工具是專為 AI 代理（AI agent）中的大型語言模型（LLM）安全性而設計。
 
骨幹破壞基準測試奠基於「威脅快照（threat snapshots）」的新概念上，聚焦於 LLM 最容易出現漏洞的關鍵節點進行測試，使開發者和模型供應商能無需建構完整且複雜的代理工作流程，即可評估其系統真實對抗安全挑戰時的抗壓能力。
 
Check Point 旗下的 Lakera 聯合創辦人暨首席科學家 Mateo Rojas-Carulla 表示，我們打造安全基準測試是因為當今 AI 代理的安全性完全取決於其背後的 LLM 模型，威脅快照功能使我們能系統性地揭露那些至今仍隱藏在複雜代理工作流程中的漏洞。我們透過將這項基準測試開放給全球使用者，使開發者和模型供應商能以實際可行的方法衡量並提升安全態勢。
 
此基準測試結合 10 個具代表性的代理「威脅快照」，以及透過遊戲化紅隊對抗平台 Gandalf: Agent Breake 收集的 19,433 筆高品質群眾外包（crowdsourced）對抗攻擊資料集，用以評估系統對各類攻擊的易受性，包括系統提示外洩、釣魚連結植入、惡意程式碼注入、拒絕服務攻擊以及未授權工具調用等。
 
系統進一步針對 31 款主流 LLM 進行初步測試，關鍵洞察如下：

強化的推理能力可顯著提升安全性
模型規模與安全效能之間無相關性
儘管頂尖開源模型的安全差距正在縮小，但閉源模型整體表現通常優於開源模型

           本文擷取自資安人

Sophos 發布第五屆年度《零售業勒索軟體現況報告》。該報告為一項不特定廠商的調查，訪問來自 16 個國家的 IT 與資安主管，深入探討勒索軟體攻擊對企業的影響。本年度報告顯示，近半數 (46%) 零售業勒索軟體事件可歸咎於先前未察覺的安全漏洞，突顯零售產業在攻擊面可視性上持續面臨挑戰。在資料遭到加密的受害組織中，有 58% 支付贖金以取回資料，為過去五年來第二高的支付比例。  
報告重點發現 


46% 的攻擊源自未知的安全漏洞 (為主要的營運面因素) 
30% 的攻擊利用已知漏洞 (連續第三年為技術面的根本原因) 
在資料遭加密的受害者中，有 58% 支付贖金；48% 的攻擊導致資料被加密 (為五年來最低比例) 
勒索金額中位數較 2024 年翻倍至 200 萬美元；平均支付金額增加 5%，達到 100 萬美元 


Sophos 觀察到的零售業威脅趨勢 
在過去一年中，Sophos X-Ops 觀察到近 90 個不同的威脅組織，曾在資料洩漏網站上以勒索軟體或恐嚇手法鎖定一個或多個零售業者。Sophos 透過事件回應與 MDR 案例追蹤到的最活躍威脅組織包括 Akira、Cl0p、Qilin、PLAY 和 Lynx。
  
除了勒索軟體攻擊，「帳號入侵」是零售業第二常見的資安事件類型。而與許多產業相同，零售業也經常成為商業電子郵件入侵 (BEC) 集團的攻擊目標，這些集團試圖竊取或轉移款項。BEC 是第三常見的資安事件類型。 

Sophos 全球資深現場資安長 Chester Wisniewski 表示，全球零售業正面臨愈來越複雜的威脅環境，攻擊者仍持續尋找並利用現有漏洞，尤其集中在遠端存取與面向網際網路的網路設備。如今勒索金額再創新高，表示組織更迫切地需要導入全面性的安全策略。若是缺乏這樣的防護，零售業者恐面臨長期的營運中斷與聲譽損害，甚至需要多年才能恢復。但值得欣慰的是，許多企業已開始意識到這一點，並投入資源強化網路防禦，使他們能在攻擊擴大前即加以阻止，並加速復原。

內部專業能力不足是導致企業遭到入侵的第二大營運面因素 (45%)，再來是防護覆蓋範圍不足 (44%)。若缺乏適當的技能與防護能力，零售業者將難以偵測並化解攻擊。 

除了這些挑戰外，報告中也顯示了一些正面的訊息。被成功阻止於加密前的攻擊比例達到五年新高，顯示零售組織在偵測與快速制止攻擊的能力上已有所提升。資料遭加密的比例則降至五年來最低，目前僅有 48% 的攻擊導致資料被加密。  

雖然零售業支付的平均贖金金額上升了 5% (2025 年為 100 萬美元，高於 2024 年的 95 萬美元)，但平均支付金額僅為平均勒索金額的一半，這顯示零售業者對過高的勒索要求愈加抗拒，並可能尋求專家協助以因應勒索軟體攻擊。  

Sophos 全球資深現場資安長 Chester Wisniewski 補充，最終，成功的資安計畫應聚焦於風險管理。為了評估並管理這些風險，零售業者必須對所面臨的威脅、資產以及自身的安全狀況具備清晰可見性。能夠結合完善的資產管理與修補作業，並搭配受管偵測與回應 (MDR) 及託管式風險服務的組織，往往能更有效地預防攻擊、加速復原，並以主動的姿態強化其網路防禦。

根據《2025 年零售業勒索軟體現況報告》顯示 


資料加密情況下降，但攻擊者正持續調整手法：雖然資料加密比例降至五年來最低，但攻擊者正改變策略，僅採取恐嚇手法攻擊的零售業比例已成長三倍，從 2023 年的 2% 上升至 2025 年的 6%。
 
備份使用率下降：在遭受攻擊的零售業者中，僅有 62% 透過備份還原資料，為四年來最低比例。  
 
零售業者愈加抗拒勒索要求：比較勒索要求與實際支付情況，僅有 29% 的零售業者表示支付金額與原始要求相符；59% 支付的金額低於要求，另有 11% 支付的金額更高。  
 
復原成本呈下降趨勢：值得注意的是，從勒索軟體攻擊中復原 (不含贖金) 的平均成本較去年下降 40%，降至 165 萬美元，為三年來最低。 
 
勒索軟體攻擊對團隊造成直接影響：近半數 (47%) 零售業 IT/資安團隊在資料遭加密後表示壓力增加，另有四分之一 (26%) 的案例導致管理層被更換。 


強化長期防禦能力 
根據 Sophos 在全球零售業防護經驗，以下為協助企業超前因應勒索軟體與其他網路威脅的最佳實務建議： 


根除根本原因：主動採取措施修補常見的技術與營運弱點，例如攻擊者常利用的漏洞。透過 Sophos Managed Risk 等解決方案，組織可評估自身曝險程度，並降低整體風險。 
 
防護每個端點：確保所有端點 (包含伺服器) 皆具備專屬的反勒索防護機制，以防止攻擊滲透。 
 
規劃與預備：建立並定期測試完整的事件回應計畫。維持可靠的資料備份，並定期演練資料還原流程，以在攻擊發生時將停機時間降至最低。 
 
全天候監控：持續可視性至關重要。若缺乏內部資源，組織可與值得信賴的託管式偵測與回應 (MDR) 服務供應商合作，透過全天候威脅監控與專家回應來強化防禦的韌性。

        本文擷取自資安人

美國網路安全暨基礎設施安全局（CISA）、國家安全局（NSA），以及澳洲與加拿大的網路安全機構，聯合發布了一份針對部署微軟 Exchange Server 的安全強化指引。這份文件強調，組織可透過限制管理存取權限、實施多因素驗證、強制執行嚴格的傳輸安全配置，以及採用零信任安全模型原則，大幅提升防禦能力，抵禦潛在的網路攻擊。

CISA 指出，針對 Microsoft Exchange Server 的惡意攻擊活動持續發生，未受保護及配置不當的伺服器成為主要攻擊目標。建議組織在轉移至 Microsoft 365 後，應將已達生命週期終止（End-of-Life）的既有部署或混合式 Exchange 伺服器除役。
Exchange Server 面臨的持續威脅
近年來，國家級駭客組織與經濟動機的駭客團體持續利用多個 Exchange 安全漏洞入侵伺服器，包括 ProxyShell 與 ProxyLogon 等零日漏洞。2021 年 3 月，至少 10 個駭客組織利用 ProxyLogon 漏洞發動攻擊，其中包括惡名昭彰的中國駭客組織 Silk Typhoon。

延伸閱讀：中國Silk Typhoon駭客組織利用雲端信任關係發動供應鏈攻擊

根據德國聯邦資訊安全辦公室（BSI）發布警告，德國約 3.3 萬台連接網際網路的本地部署 Exchange 伺服器中，高達 92% 仍在運行已終止支援的版本。這些系統分屬於數千家企業，包括大量醫院與診所、學校與大學、社會服務機構、法律與稅務事務所、市政公用事業單位及地方行政機關。

微軟已發布 Exchange Server 2016 與 2019 的最終安全更新。未採取風險緩解措施的組織將持續面臨威脅。目前唯一受支援的地端部署版本為 Exchange Server 訂閱版（Subscription Edition, SE）。微軟也為 Exchange 2016 與 2019 提供延伸安全更新服務，協助客戶完成遷移。然而，這些更新僅處理重大或重要漏洞，且該計畫將於 2026 年 4 月 14 日終止。

關鍵安全防護建議
聯合指引列出十多項關鍵安全建議，涵蓋更新維護、存取控制、驗證強化及加密防護等面向：


維護安全更新與修補程序：定期更新系統，確保獲得最新的安全修補
遷移已終止支援的 Exchange 伺服器：轉移至受支援版本或替代方案
確保 Exchange 緊急緩解服務（Emergency Mitigation Service）保持啟用
套用安全基準：包括 Exchange Server 基準、Windows 安全基準及郵件客戶端安全基準
啟用防護功能：包括防毒解決方案、Windows 反惡意軟體掃描介面（AMSI）、攻擊面減少（ASR）、AppLocker 與 App Control for Business、端點偵測與回應（EDR），以及 Exchange Server 的反垃圾郵件與反惡意軟體功能
限制管理存取：僅允許授權工作站存取 Exchange 管理中心（EAC）與遠端 PowerShell，並套用最小權限原則
強化驗證與加密：配置傳輸層安全性（TLS）、HTTP 嚴格傳輸安全（HSTS）、延伸保護（Extended Protection）、使用 Kerberos 與伺服器訊息區塊（SMB）取代 NTLM，並實施多因素驗證
停用使用者的遠端 PowerShell 存取：在 Exchange 管理命令介面（EMS）中限制遠端 PowerShell 功能

這些機構建議強化驗證機制，包括啟用多因素驗證、現代化驗證（Modern Auth）並運用 OAuth 2.0，部署 Kerberos 與 SMB 以取代 NTLM 來保護驗證過程。此外，應為 Exchange 管理命令介面啟用憑證式簽章，實施 HTTP 嚴格傳輸安全以確保瀏覽器連線安全，並實施角色型存取控制來管理使用者與管理員權限。

對於仍需運行未受支援 Exchange 版本的組織，CISA 提供了額外的緩解措施。首先，應將 Exchange Server 實例隔離在公開網際網路之外，並置於專用網段中。若需進行外部通訊，應透過獨立且受支援的電子郵件安全閘道來路由流量。

CVE-2025-59287 漏洞威脅加劇
指引發布前一天，CISA 更新針對 CVE-2025-59287 的警告。這是 Windows 伺服器更新服務（WSUS）元件中一個新修補的安全漏洞，可能導致遠端程式碼執行。

Sophos 報告指出，駭客正利用此漏洞從美國各產業組織竊取敏感資料，包括大學、科技業、製造業及醫療業。攻擊者透過易受攻擊的 Windows WSUS 伺服器執行 Base64 編碼的 PowerShell 指令，並將結果外洩至 webhook[.]site 端點。

Sophos 威脅情報總監 Rafe Pilling 表示，這項活動顯示威脅行動者迅速利用 WSUS 的重大漏洞，從易受攻擊的組織收集有價值的資料。他指出，這可能是初步測試或偵察階段，攻擊者正在分析所收集的資料，尋找新的入侵機會。雖然目前尚未看到進一步的大規模利用，但防禦者應將此視為早期警告。

CISA 建議組織識別易受攻擊的伺服器，套用微軟發布的緊急安全更新，並調查網路上的威脅活動跡象。重點監控項目包括：


監控並審查可疑活動與以系統層級權限衍生的子程序，特別是源自 wsusservice.exe 或 w3wp.exe 的程序
監控並審查使用 base64 編碼 PowerShell 指令的巢狀 PowerShell 程序


政府介入的意義
史丹佛大學國際安全與合作中心研究學者 AJ Grotto 指出，政府通常不會介入提供私人公司產品的詳細安全操作指引。多國安全與情報機構認為有必要製作這份文件，這對微軟的安全態勢構成嚴厲批評。微軟之所以能逃脫疏忽責任，是因為客戶被鎖定在其生態系統中，使其得以將風險與成本轉嫁給客戶。

CISA 網路安全部門執行副主任 Nick Andersen 表示，CISA 建議組織評估採用雲端電子郵件服務，避免自行管理複雜的託管通訊系統。

保護 Exchange 伺服器對於維護企業通訊與功能的完整性及機密性至關重要。組織應持續評估並強化這些通訊伺服器的網路安全態勢，以領先不斷演進的網路威脅，確保 Exchange 作為許多組織營運核心的強健防護。

本文轉載自 BleepingComputer、HelpNetSecurity、TheHackerNews。

            本文擷取自資安人

根據資安院在2025年10月份發布的各週《資安週報》資料顯示，防禦迴避攻擊手法持續占據主導地位，初始入侵威脅升溫，同時IoT設備安全防護不足與外部曝險問題持續困擾企業與公部門。本期分析涵蓋第13至16期週報，呈現出攻擊者手法日趨隱蔽，以及企業在基礎資安防護上仍存在顯著缺口的現況。
防禦迴避成為最主流攻擊手法
10月份最顯著的威脅趨勢是防禦迴避攻擊持續高居首位，四週期間占比始終維持在15.5%至16.3%之間。攻擊者慣用的手法包括關閉或刪除指令紀錄、利用合法系統工具（如PowerShell、WMI）間接執行惡意命令，以達到規避監控目的。

這類攻擊手法之所以難以防範，在於攻擊者濫用系統內建的合法工具，使其行為難以與正常系統管理活動區分。更棘手的是，攻擊者會主動清除操作痕跡，導致事後調查困難重重。此類攻擊的高成功率與隱蔽性，使其成為攻擊者的首選策略。

初始入侵與憑證竊取事件攀升
另一個值得關注的趨勢是初始入侵事件持續升溫。數據顯示，初始入侵占比從第13期的9.3%上升至第14期的11.4%，攻擊者主要透過外部服務弱點、預設帳號或弱密碼組合，存取未妥善管理的系統服務。

與此同時，第15期憑證竊取事件也上升至6.9%，顯示攻擊者持續針對帳號防護薄弱處進行攻擊。這反映出許多機關仍未落實基本的身分驗證安全措施，包括停用預設帳號、強制複雜密碼政策，以及部署多因素驗證機制。

特定漏洞遭大規模持續利用
10月份的攻擊活動也呈現出明顯的漏洞利用集中化趨勢。CVE-2023-50386（Apache Solr企業搜尋平台，CVSS 8.8）在所有四週均位居前5大攻擊漏洞榜首；CVE-2025-5777（Citrix NetScaler ADC，CVSS 7.5）連續四週出現在前5名。

此外，網頁應用服務始終是主要攻擊目標,占比持續維持在74%至84%之間。這些數據顯示攻擊者持續針對企業級應用系統發動攻擊，特別是那些已公開漏洞資訊但尚未修補的系統。其他持續出現的高風險漏洞還包括Atlassian Confluence（CVE-2023-22515、CVE-2024-21683）以及Check Point VPN Gateway（CVE-2024-24919）。

IoT設備成為新興攻擊破口
10月份出現一個值得警惕的新興趨勢：IoT設備與網通設備成為攻擊者的新目標。第14期發現多數受害設備為監視器,遭透過隨身碟散布惡意程式；第15、16期連續發現原供內部使用的無線AP遭外部不明設備連線。

網通設備管理介面的攻擊占比從第13期的1.70%大幅上升至第15期的15.44%，增幅驚人。這反映出企業對IoT設備與無線網路的安全意識不足，許多設備使用預設密碼、未限制存取來源，或是缺乏完整的資產盤點與存取控管機制。

外部曝險問題持續集中於三大面向
從外部曝險分析來看，風險持續集中於憑證管理、元件漏洞及加密協定三大面向。TLS憑證不受信任始終是最大宗風險，公部門有103至104項、關鍵基礎設施（CI）單位則高達1,144至1,148項。

元件高風險漏洞問題持續存在且有上升趨勢，CI單位從452項增至461項。過時或弱加密協定問題同樣嚴重，公部門有94至95項、CI單位303至319項。這三大類型合計占整體曝險約86%至88%，反映憑證管理、系統元件漏洞修補及加密設定仍為主要風險來源。

建議行動方針
面對上述威脅趨勢，建議企業與機關採取以下優先措施：

首先，強化初始入侵防護刻不容緩。應執行定期外部服務弱點掃描與修補、停用或強化預設帳號驗證機制、部署多因素驗證、實施異常登入行為偵測，並定期檢查外洩憑證是否與現行帳號重複。

其次，針對持續被利用的關鍵漏洞，特別是Apache Solr與Citrix系統，應立即更新至最新版本或採取對應的緩解措施。

第三，加強IoT設備與無線網路安全管理。建議關閉AutoRun功能、限制外接式儲存媒體存取、限制已註冊MAC位址連線、關閉SSID廣播，並導入帳號或憑證驗證機制取代共用密碼。

最後，提升端點防護與行為監控能力至關重要。建議導入EDR/XDR解決方案、加強指令紀錄的稽核能力、限制高風險工具濫用、強化特權帳號管理，以及實施異常行為偵測機制。

結語
10月份的資安態勢顯示，攻擊者手法日趨成熟且具針對性，防禦迴避技術與初始入侵管道的濫用已成常態。企業不應僅依賴傳統防護設備，而需建立縱深防禦體系，從存取控管、漏洞管理、端點防護到行為監控全面強化。唯有持續投入資源並落實基本資安防護措施，才能有效降低遭受攻擊的風險。

         本文擷取自資安人

自以 8.59 億美元收購 Secureworks 以來的數月內，Sophos 已取得重大轉型進展，整合了組織內各領域的技術、專業與服務，進一步提升全球客戶的防禦能力與整體資安成果。為展現進展，Sophos 推出 Sophos Identity Threat Detection and Response (ITDR)，這是系列創新中的最新成果，運用了 Secureworks 的技術優勢來擴充公司的安全營運產品組合。  

Sophos Identity Threat Detection and Response (ITDR) 身分威脅偵測與回應：這是最新推出的解決方案，可協助企業更快速掌握身分風險，並提供更強大的防護，以抵禦身分為基礎的攻擊。 

Sophos Advisory Services 顧問服務：本月稍早宣布的新服務，透過 Sophos X-Ops 情資支援，提供滲透測試與進階資安評估，協助降低網路風險。 
 
威脅專業整合：從 Secureworks 納入的威脅對抗小組 (CTU) 已正式加入 Sophos X-Ops，該 Sophos 聯合行動小組整合了多個專業團隊。此整合讓 Sophos 的威脅研究能力更上一層樓，涵蓋全球級的攻擊者追蹤、暗網情資，以及與全球執法與政府機構的合作。Sophos X-Ops 彙整的情報可為所有 Sophos 產品與服務帶來動能，提供無可比擬的防禦力，抵禦勒索軟體、國家級攻擊與身分入侵等威脅。 
 
Sophos Endpoint 與 Secureworks Taegis MDR 和 XDR 的整合：Sophos 於 9 月宣布，Sophos Endpoint 現已與 Taegis MDR 與 Taegis XDR 原生整合，並自動隨所有訂閱服務提供，實現統一式的預防、偵測與回應，同時降低複雜度與成本。 

這些創新進展讓 Sophos 更能協助各種規模的組織，透過結合先進技術與可信賴的人類專業，防禦不斷演變的威脅。 

Sophos 首席產品長 Raja Patel 表示，Sophos 正在重新定義『可信賴資安夥伴』的意涵。我們的策略是無論企業處於資安旅程的哪個階段，都能滿足其需求，結合先進防禦技術與深厚的人類專業，以超前駭客一步。藉由全球規模、全域可視性與 Sophos X-Ops 的情資，我們不僅能在當下交付更強的防禦成果，也確保企業能在面對未來威脅時安全運作。

這些創新共同展現了 Sophos 對結合技術與專業、實現可衡量資安成果的承諾。 

市場擴展 
隨著 Sophos ITDR 的推出及近期 Sophos Advisory Services 登場，Sophos 進一步擴大了其廣受信賴的安全營運產品組合。Sophos ITDR 使用 Secureworks 經實證的 Taegis IDR 解決方案，能讓企業更快速掌握身分風險，並提供更強的防護，以對抗全球成長最快的威脅之一，亦即鎖定身分的攻擊。 

Sophos Advisory Services 由資深資安專家執行，並以 Sophos X-Ops 威脅情報為基礎，提供滲透測試與進階資安評估，協助企業找出防禦缺口、強化防護並降低風險。這些服務不僅擴充了 Sophos 夥伴能提供給客戶的解決方案組合，也創造新的成長機會，並協助夥伴提升市場差異化。 

端點防護、人工智慧與 MDR 的產品組合強化 


端點防護產品組合更新：新增精簡版的 Sophos EDR 授權等級，讓各種規模的企業更容易獲得企業級防護，同時讓合作夥伴可以更便捷地交付與銷售 Sophos 解決方案。 
 
人工智慧進展：新增安全分析與威脅獵捕 AI 助理，支援 Sophos XDR 與 Sophos MDR 中的調查與主動獵捕工作流程。這些 AI 助理汲取 Sophos MDR 分析師在保護超過 35,000 家企業免受進階、人工操作攻擊的經驗，協助資安團隊快速辨識風險、以威脅情報強化調查，並更迅速地採取補救行動。 
 
XDR 與 MDR 整合強化：為加速全組織範圍內的威脅偵測與回應，Sophos 進一步簡化客戶將 IT 與資安技術連結至開放式 Sophos Central 平台的操作。自 2025 年 11 月起，所有 Sophos MDR 與 Sophos XDR 訂閱服務將免費內含第三方技術整合，涵蓋端點、防火牆、網路、雲端、電子郵件、身分識別、備份及生產力應用等領域。這項強化的可視性可協助分析師更快識別、調查並消除威脅，同時幫助客戶最大化既有 IT 投資的效益。

這些涵蓋身分保護、顧問服務、端點創新、人工智慧、MDR 與人類專業的產品組合強化，充分展現了 Sophos 如何在全球規模上實現可衡量的資安成果。

         本文擷取自資安人

Check Point Software Technologies Ltd. 的威脅情報部門 Check Point Research 數據顯示，2025 年 9 月，全球組織每週平均遭受 1,900 次網路攻擊，較去年同期增長 1%。以各地區的每週平均攻擊次數而言，以非洲（2,902 次）與拉丁美洲（2,826 次）居全球前二，亞太則位居第三名（2,668次），其中台灣再度以高達 3,840 次位居亞太地區之首。

以下彙整三份最新報告，分別為：

Check Point Software 2025 年九月全球資安威脅
威脅情資報告：台灣受攻擊情形（統計數據涵蓋不同時間段）
2025 年第三季品牌網路釣魚報告 


Check Point Software 2025 年九月全球資安威脅
攻擊次數年增率上升：2025 年 9 月，全球組織每週平均遭受 1,900 次網路攻擊，較去年同期增長 1%。 

全球各產業遭受攻擊情形：


2025 年 9 月，教育產業仍為攻擊首要目標，每個組織每週平均遭受 4,175 次攻擊，較去年同期下降 3%，但仍遠高於其他產業。
 
通訊產業排名第二，每週平均 2,703 次攻擊，較去年同期增加 6%；政府機構次之，每週 2,512 次攻擊，較去年下降 6%。
 
趨勢再次凸顯擁有大量資料並提供關鍵服務的產業仍為主要攻擊目標。攻擊者持續利用這些產業對數位基礎設施與敏感資料流的依賴，尤其在混合辦公、雲端整合與舊系統共存的環境中，更容易成為攻擊破口。 

台灣各產業遭受攻擊情形：
過去四週，台灣受攻擊次數最多的前三大產業依序為硬體與半導體（平均每週遭受 5,638 次攻擊）、製造業（4,786 次）和政府（4,570 次）。 

全球各地區亮點：
非洲仍為每週平均遭受攻擊次數最高的地區，但攻擊量較去年同期下降 10%，各組織每週平均遭受 2,902 次攻擊；拉丁美洲則次之，每週平均 2,826 次攻擊（+7% YoY）；位居第三名的亞太地區每週平均 2,668 次攻擊（-10% YoY），其中台灣每週平均遭受 3,840 次攻擊，位居亞太地區之首。

趨勢
一、生成式 AI 加劇資料外洩風險：
2025 年 9 月，企業網路中每 54 個 GenAI 提示（prompts）中就有 1 個存在高度敏感資料暴露風險，此威脅影響了 91% 定期使用 GenAI 工具的組織。此外，所有提示中有 15% 可能包含敏感資料，包括客戶資料、內部通訊或專用程式碼片段（code snippet）。這些結果凸顯了在採用 GenAI 時，建立治理與安全控管的迫切性，若缺乏足夠的防護措施，提升生產力的同時恐伴隨資安風險。

二、勒索軟體升溫：
2025 年 9 月勒索軟體活動呈顯著回升，共有 562 起被公開報導的勒索軟體攻擊，較 2024 年同期增加 46%，顯示威脅呈現快速擴散趨勢。

威脅情資報告：台灣受攻擊情形摘要如下：


過去六個月，台灣各組織平均每週遭受 3,883 次攻擊，而全球組織則為每週 1,952 次。
過去六個月，台灣最常見的漏洞利用類型為資訊外洩（Information Disclosure），影響了 79% 的組織，相比之下，全球受影響的組織比例為 69%。 

三、2025 年第三季品牌網路釣魚報告：最常遭網路釣魚攻擊的前十大品牌統計

2025 年第三季最常被用於釣魚攻擊的品牌排名如下：




排名
品牌
出現率




1
微軟（Microsoft）
40%


2
Google
9%


3
蘋果（Apple）
6%


4
Spotify
4%


5
亞馬遜（Amazon）
3%


6
PayPal
3%


7
Adobe
3%


8
Booking.com
2%


9
領英（LinkedIn）
2%


10
DHL
2%




產業趨勢：科技品牌仍為首要目標，金融與物流業者再度上榜
網路犯罪者仍大量冒充大眾熟悉的品牌，微軟（Microsoft）在第三季依然是全球遭冒充最頻繁的品牌，佔所有品牌釣魚攻擊的 40%。其它大型科技公司遭受此類攻擊的情形同樣未見減緩，Google 以 9% 排名第二，蘋果（Apple）則以 6% 居次，冒充這三大科技巨頭的釣魚活動合計佔本季超過一半。
 
此外，PayPal 與 DHL 經過數季後再度進入前十名，分別排名第 6 和第 10，顯示網路犯罪者重新將目光投向金融平台與物流服務，因這些領域的信任度與緊迫性較易被操控。
 
總結而言，科技產業仍是最常被冒充的領域，其次是社群網路與零售業，凸顯攻擊者持續利用人們日常依賴的數位服務進行詐騙。

結語：針對釣魚攻擊的資安防護建議
隨著釣魚攻擊手法日益精準且難以辨識，搶先一步防範攻擊者至關重要，以下為建議採取的措施以降低風險：


啟用多重身份驗證（MFA）：所有帳號皆啟用 MFA，除密碼外再增添一層安全防護。
詳細檢查網址與寄件者：在點擊或提交個資前，務必確認網址及電子郵件寄件者，即使訊息看似來自可信品牌也不例外。
定期進行釣魚防護教育：透過定期的釣魚意識訓練，協助員工識別仿冒電子郵件與假登入頁面。
部署進階防護：例如使用 Check Point Harmony Email，利用 AI 技術在釣魚郵件進到收件匣前即予以攔截。

       本文擷取自資安人

資安解決方案供應商 Sophos 宣布推出身分威脅偵測與回應解決方案 Sophos Identity Threat Detection and Response (ITDR)。這項新解決方案可整合至 Sophos XDR 與 Sophos MDR，能持續監控客戶環境中的身分風險與設定錯誤，並掃描暗網以偵測外洩的使用者憑證。它可協助企業迅速偵測並回應身分識別型攻擊，並辨識出可能威脅業務安全的高風險使用者行為。  

此項發表是 Sophos 在併購 Secureworks 後的重要里程碑，進一步了擴大 Sophos 的產品組合，同時也是第一個完全整合進 Sophos Central 平台的 Secureworks 解決方案，讓 Sophos 能為其 60 萬名客戶提供更全面的安全營運成果。 

Sophos ITDR 可防範身分識別型攻擊，此類攻擊是全球成長最快的威脅途徑之一。Sophos X-Ops 的威脅對抗小組 (CTU) 觀察到，從 2024 年 6 月至 2025 年 6 月，暗網上販售的遭竊憑證數量增加了 106%，凸顯出風險快速上升。《Sophos 主動攻擊者報告》進一步指出，憑證外洩連續第二年成為 MDR 與事件回應案例中最主要的攻擊根源，其中有 56% 的事件涉及攻擊者使用有效帳號登入外部遠端服務。 

Sophos 產品管理資深副總裁 Rob Harrison 表示，雲端與遠端工作擴大了身分攻擊面，並為攻擊者創造了新的可乘之機。且今日身分與存取管理系統極為複雜，設定與原則不斷變動，容易產生攻擊者可利用的漏洞。Sophos ITDR 能協助客戶更快速掌握身分風險、監控憑證外洩情形，並與 Sophos XDR 和 Sophos MDR 整合以實現快速、由分析師主導的回應，協助縮小這些防護缺口。

Sophos ITDR 能揭露身分風險，並針對所有已知的 MITRE ATT&CK 憑證存取技術提供偵測防護規則。此解決方案可執行超過 80 項雲端身分狀態檢查，監控暗網上的憑證外洩情形，並利用 AI 驅動的偵測技術，辨識如 Kerberoasting、權限提升、帳號接管、暴力破解與橫向移動等身分識別型攻擊。Sophos ITDR 內建的回應劇本可自動執行修復動作，包括鎖定帳號、重設密碼、多因素驗證更新，以及終止使用中工作階段。 

Sophos ITDR 的主要功能與優勢 

身分目錄：全面掌握系統中所有身分資訊，減少防護盲點。 
身分狀態儀表板：透過單一、優先排序的檢視掌握身分風險，包括暗網上的外洩憑證，以便更快速採取行動。 
持續評估：透過持續偵測設定錯誤、閒置帳號、漏洞與多因素驗證 (MFA) 缺口，強化整體安全狀態。 
外洩憑證監控：當遭竊憑證出現在資料外洩資料庫時，立即偵測並通知以保護使用者。 
暗網情報：主動監控地下市場中的憑證外洩情況，搶先攻擊者一步。 
使用者行為分析 (UEBA)：及早發現內部威脅與異常行為，防止帳號被接管或橫向移動攻擊。 
進階身分偵測：偵測複雜的身分攻擊，例如 Kerberoasting、帳號入侵、憑證竊取、密碼噴灑、暴力破解與異常連線登入等攻擊行為。  
身分回應動作：透過整合的回應動作立即處理身分威脅，包括停用帳號、重設使用者工作階段、重設密碼，或在 Microsoft Entra ID 中標示帳號為已遭入侵。 

Sophos ITDR 解決方案可與 Sophos XDR 和 Sophos MDR 整合，當偵測到身分識別型威脅或高風險項目時，系統會自動建立事件案例。搭配 Sophos MDR 使用時，Sophos 的安全分析師將代表客戶進行調查並採取回應行動，加速修復流程並降低風險。