全部文章分享

      本文擷取自資安人

Sophos 宣布推出 Sophos Advisory Services 顧問服務，這是一套專為協助組織識別資安計畫中潛在弱點所設計的安全測試服務。此服務套件包括外部滲透測試、內部滲透測試、無線網路滲透測試以及 Web 應用程式安全評估，可強化組織防禦力，並提升現有資安投資的效益。

無論企業規模大小或資安成熟度為何，定期評估資安防禦狀態都是抵禦威脅行為者、符合法規要求，以及建立客戶、合作夥伴與利害關係人信任的關鍵步驟。根據 Sophos《2025 年勒索軟體現況報告》，勒索軟體攻擊的首要因素是已遭利用的弱點，此外有 65% 的受訪組織表示，已知或未知的安全缺口 是導致他們遭受攻擊的重要原因。

Sophos Advisory Services 資深總監 Jake Dorval 表示，攻擊者越來越擅長利用企業資安計畫中的任何細微漏洞。透過 Sophos Advisory Services，能讓客戶能夠取得主動優勢，在攻擊者下手之前找出並修補弱點。藉由 Sophos X-Ops 威脅情報提供的即時洞察，專家能協助企業強化韌性、符合法規要求，並與利害關係人建立長期信任。

以下服務現已推出，結合 Sophos X-Ops 的頂尖威脅情報研究與洞察，以及從威脅捕獵與事件回應任務中獲得的實務經驗：

外部滲透測試：模擬外部攻擊者企圖突破企業防線的行為。
內部滲透測試：模擬內部威脅或已突破防線的攻擊者，著重評估內部網路中的系統、應用程式與資料安全。
無線網路滲透測試：評估企業 Wi-Fi 網路與基礎架構的安全性，並確認其是否符合相關法規要求。
Web 應用程式安全評估：測試企業 Web 應用程式中的安全漏洞與設計弱點。

Sophos Advisory Services 均由專業測試人員執行，他們具備跨領域的資安專業背景，包括安全研究、威脅情報、執法機關與軍事單位等，並在 Sophos 近期收購 Secureworks 後加入團隊。該團隊持有數百張資安專業認證，多次在奪旗 (CTF) 競賽中名列前茅，並獲得 Sophos X-Ops 安全分析師、威脅情報與研究專家的全力支援。

Sophos Advisory Services 是 Sophos 快速成長的安全服務組合中最新的成員，該組合中亦包括了 Sophos Emergency Incident Response 緊急事件回應服務。此服務整合了 Sophos 與 Secureworks 的事件回應專業，採按時計費制，能快速識別並消除進行中的威脅，適用於任何正面臨資安事件的組織。

         本文擷取自資安人

勒索軟體持續是企業面臨的最大資安威脅。根據安聯人壽(Allianz)發布的 2025 年網路安全韌性報告，駭客攻擊目標正在從防禦嚴密的大型企業轉向較易受侵害的中小型公司。資料顯示，中小企業遭遇的資安事件中有 88% 涉及勒索軟體，而大型企業僅佔 39%。2025 年上半年，勒索軟體仍是大型資安理賠的主因，佔所有超過 100 萬歐元理賠案件的 60%。
資料竊取與社交工程成為主流攻擊手法
駭客的攻擊策略正在轉變，不再只依賴加密檔案，而是更專注於資料外洩。對攻擊者而言，竊取資料不僅更省力，還能更有效地迫使受害者支付贖金。去年全球資料外洩事件平均造成近 500 萬美元的損失，再加上日益嚴格的隱私法規和潛在訴訟風險，企業面臨的財務風險正持續攀升。

員工現已成為駭客最易突破的入口點。社交工程、網路釣魚和商業電郵詐騙仍然是常見手法，而生成式 AI 的出現使這些詐騙手段更具說服力。

目前，憑證竊取已成為最普遍的攻擊途徑。駭客組織 Scattered Spider 就是典型案例，他們透過假冒技術支援電話和憑證濫用，能在短短 24 小時內，從簡單的帳號接管迅速進展到完整的勒索軟體部署。

BBC 記者遭勒索軟體集團招募為內部威脅
Medusa 勒索軟體集團試圖收買媒體人員作為內部威脅。外媒揭露，該組織透過加密通訊應用程式 Signal 聯繫他，要求利用工作筆電入侵 BBC 內部網路，並承諾給予贖金的 15% 作為報酬。自稱「Syndicate」的駭客聲稱，若成功入侵 BBC 系統，可能索取數千萬美元贖金，Tidy 將獲得至少 15% 分成。對方後來更提高報酬至 25%，並在駭客論壇提供 0.5 比特幣（約 5.5 萬美元）作為預付款。

Medusa 是一個自 2021 年 1 月開始活動的勒索軟體組織，以雙重勒索攻擊聞名，並於 2023 年推出專屬勒索入口網站。美國網路安全暨基礎設施安全局 (CISA) 3 月的報告指出，Medusa 已對美國關鍵基礎設施發動超過 300 次攻擊。當駭客嘗試誘使 Tidy 執行惡意腳本時，面對記者的拖延戰術，攻擊者轉而發動多因素驗證轟炸(MFA Bombing)，透過自動化登入嘗試產生大量驗證請求。Tidy 立即通報 BBC 資安團隊，並預防性地切斷與組織網路的連線。幾天後，該駭客刪除了其 Signal 帳號。

延伸閱讀：轉型為勒索服務營運後，梅杜莎集團攻擊量大幅攀升

新興威脅 Warlock 迅速崛起，攻擊手法高度複雜
資安研究人員警告，名為 Warlock 的勒索軟體組織正迅速崛起。根據資安業者 Sophos 的詳細報告，這個被 Sophos 追蹤為「Gold Salem」、被 Microsoft 稱為「Storm-2603」的組織，可能是近年來「最令人擔憂的新變種」。自 2025 年 3 月首次被發現以來，Warlock 已入侵超過 60 個組織。該組織採用多種複雜攻擊手法，包括：利用自訂的 ToolShell 鏈條攻擊 SharePoint 漏洞、使用 Velociraptor 等合法工具建立隱密通道、部署 Mimikatz 竊取憑證，以及透過 PsExec、Impacket 與群組原則物件(GPO)散布勒索軟體。

Warlock 的攻擊目標遍及全球各產業與國家，但刻意避開俄羅斯與中國的組織。在超過 60 個已知受害者中，Warlock 聲稱已將 27 個（約 45%）的竊取資料售予私人買家，而只有 32% 的案例涉及公開資料外洩。

零售業成攻擊主要目標，防禦準備與快速應變是關鍵
2025 年上半年，零售業已成為網路攻擊的首要目標。自 2020 年以來，零售業遭受的攻擊損失僅次於製造業和專業服務業，由於擁有大量個人資料及複雜的供應鏈，零售業成為駭客的理想目標。報告也指出，供應鏈中斷正逐漸成為理賠案件的新興來源，即使組織內部控管完善，仍可能因供應商遭受服務中斷或資料外洩而受到嚴重影響。

技術故障與隱私疏失在理賠案件中的比例也持續攀升，去年美國便發生超過 1500 件隱私相關訴訟。儘管威脅情勢嚴峻，安聯人壽的分析卻顯示投保企業有明顯的正面發展。2025 年上半年，整體理賠嚴重程度下降超過 50%，超大型理賠案件數量減少約 30%。多數案例證明，基本控制措施，如修補程式、網路區隔、資料備份與多因素驗證(MFA)等能有效限制損害範圍。

特別值得注意的是，早期偵測與快速應變可將損失降低高達 1000 倍。報告強調桌面演練(Tabletop Exercise)與營運持續計畫對提升企業韌性至關重要。

資安防護建議


落實基礎安全控管：定期修補系統漏洞、實施網路區隔、確保資料備份與啟用多因素驗證
定期執行桌面演練與營運持續計畫測試
加強員工資安意識教育，預防社交工程攻擊
建立有效的早期威脅偵測與快速應變機制
全面評估供應鏈風險與雲端服務安全性
評估網路保險選項以有效分散資安風險


本文轉載自 ​BleepingComputer、CySecurityNews、HelpNetSecurity。

     本文擷取自資安人

Sophos 發布第五份年度《Sophos 教育領域勒索軟體現況報告》。這項針對 441 位 IT 與資安主管的全球研究顯示，教育領域在防禦勒索軟體方面已取得具體進展，贖金支付減少、成本大幅下降，且復原速度更快。

在過去五年中，勒索軟體已成為全球教育領域最嚴峻的威脅之一，攻擊幾乎成為日常。中小學機構被網路犯罪分子視為『軟目標』，因為這些學校往往經費不足、人力短缺，卻持有高度敏感的資料。其後果十分嚴峻：不僅造成學習受阻、預算壓力加劇，還加深了對學生與教職員隱私的擔憂。若缺乏更強大的防禦，學校不僅可能失去關鍵資源，更可能失去所服務社群的信任。
勒索軟體防禦成效指標
最新的 Sophos 研究顯示，全球教育領域在因應與回應勒索軟體攻擊方面表現越來越好，迫使網路犯罪分子必須改變手法。研究趨勢數據顯示，愈來愈多攻擊者嘗試在不加密資料的情況下勒索金錢。不過，仍有約半數受害者會選擇支付贖金。值得注意的是，贖金金額已大幅下降；而在遭遇資料加密的受害者中，有 97% 能夠透過不同方式成功復原資料。研究指出教育領域在防禦勒索軟體方面的幾項關鍵成功指標：


阻擋更多攻擊：在檔案被加密之前成功攔截攻擊的比率，無論在中小學或高等教育機構，均達到四年來最高水準 (分別為 67% 與 38% 的攻擊)。
 
追蹤金流：過去一年中，勒索要求金額下降了 73% (平均減少 283 萬美元)。中小學的平均支付金額從 600 萬美元降至 80 萬美元；高等教育則從 400 萬美元降至 46.3 萬美元。
 
復原成本大幅下滑：除了贖金之外的平均復原成本，高等教育下降 77%，中小學下降 39%。儘管如此，中小學的平均復原費用仍是所有產業中最高。


仍需補強的缺口
雖然教育領域在降低勒索軟體影響方面已有進展，但仍存在嚴重缺口。Sophos 研究顯示，64% 的受害者回報其防護解決方案缺失或效能不足；66% 指出缺乏人力 (無論是專業技能或人員規模) 來阻止攻擊；67% 承認存在安全漏洞。這些風險凸顯了學校在面對網路犯罪分子的新手法 (包括 AI 驅動的攻擊) 時，必須更加專注於「預防」的重要性。

研究指出以下幾個值得關注的缺口：


AI 驅動的威脅：中小學校回報有 22% 的勒索軟體攻擊源自釣魚郵件。隨著 AI 讓釣魚郵件更具說服力，並衍生出語音詐騙甚至深偽 (deepfake) 技術，學校恐淪為新興攻擊手法的測試場。
 
高價值資料：高等教育機構作為 AI 研究與大型語言模型資料集的保管者，仍是主要攻擊目標。研究發現，最常被攻擊者利用的弱點包括：已知漏洞 (35%) 以及服務提供者未察覺的安全缺口 (45%)。
 
人員衝擊：所有遭遇資料加密的機構均回報攻擊對 IT 人員造成影響。超過四分之一的員工在攻擊後請假，近 40% 表示壓力升高，超過三分之一的人感到自責，認為自己未能防止入侵。

Sophos CTU 威脅研究總監 Alexandra Rose 表示，勒索軟體攻擊對教育機構的影響，不僅只是打亂課堂運作，而是衝擊了整個由學生、家庭與教育工作者組成的社群。雖然我們欣見學校強化了應對能力，但真正的首要任務應該是預防這些攻擊。這一點需要完善的規劃，以及與可信賴的合作夥伴緊密協作，特別是在攻擊者持續採用包括 AI 驅動威脅在內的新手法之際。

保持既有成果
憑藉多年來協助數千家教育機構抵禦威脅的經驗，Sophos 專家建議教育單位採取以下措施，以維持成果並為不斷演變的威脅做好準備：


專注於預防：基礎教育機構在勒索軟體尚未加密前成功加以阻止的顯著成果，可以做為其他公共部門機構可借鏡的範例。組織需要將偵測與回應能力，與「在攻擊入侵前加以阻止」的防禦策略相結合。
 
整合策略：教育機構應在分散的 IT 環境中採用協調一致的方法，以縮小可視性缺口並降低攻擊者利用漏洞的風險。
 
減輕人員負擔：勒索軟體對 IT 團隊造成了沉重壓力。學校可透過與可信賴的服務提供者合作，引進託管式偵測與回應 (MDR) 等全天候專業服務，以降低壓力並擴展自身的能力。
 
強化應變：即使防禦力增強，學校仍必須隨時準備回應發生的事件。透過建立健全的事件回應計畫、進行模擬演練，以及採用 MDR 等全年無休的服務，學校能更快復原並提升應變能力。

​《2025 Sophos 教育領域勒索軟體現況報告》的數據來自一項不偏向任何廠商的獨立調查，對象為 441 位 IT 與資安主管，其中包含 243 位來自中小學機構，以及 198 位來自高等教育機構，這些機構在過去一年均遭遇過勒索軟體攻擊。受訪組織規模從 100 至 5,000 名員工不等，分布於 17 個國家。本次調查於 2025 年 1 月至 3 月間進行，受訪者分享他們在過去 12 個月中面對勒索軟體的經驗。

      本文擷取自資安人

Check Point 研究團隊發出警告，近期發現一起手法精密的網路釣魚攻擊，專門針對製造業及其他供應鏈核心廠商。此攻擊手法能夠規避安全防護機制，且不易被目標企業察覺。
攻擊手法：利用信任關係建立長期互動
這波攻擊最顯著的特徵是攻擊者投入大量心力建立信任，使目標企業員工深信釣魚郵件的真實性。駭客透過目標公司網站的「聯絡我們」表單主動接觸受害者，此策略不僅誘使受害者率先展開電子郵件對話，還能巧妙繞過基於信譽評級的電子郵件過濾系統。

攻擊者願意投入數天甚至數週時間，與目標對象進行看似專業且可信的對話，並要求受害者簽署保密協議（NDA）。這份文件不僅是誘餌，同時也是操控受害者的工具。

駭客團體精心挑選用於發起郵件通訊的網域，這些網域名稱多數與美國註冊的有限責任公司名稱相符，且註冊時間均超過五年。藉由這些網域良好的網路聲譽和合法的商業歷史，攻擊者能有效繞過安全過濾機制。

此外，研究人員也發現攻擊手法的新變化：駭客不再透過「聯絡我們」表單接觸，而是直接向員工發送電子郵件，聲稱正在與該企業合作進行「人工智慧影響評估」，要求收件人填寫問卷以了解 AI 如何影響工作流程。為增加可信度與緊迫感，攻擊者明確表示此為公司高層指示，暗示員工的意見將影響即將到來的重要決策。

技術分析：MixShell 後門程式的部署流程
研究人員判斷，這波攻擊是由以金錢利益為動機的駭客團體所策劃。

攻擊目的在於傳送惡意 ZIP 壓縮檔，內含可直接在記憶體執行的 PowerShell 腳本，最終部署名為「MixShell」的客製化記憶體植入後門程式。

此惡意程式主要透過 DNS TXT 通道技術進行指揮控制通訊（並使用 HTTP 連線作為備援機制），具有遠端執行指令和檔案操作的能力。當攻擊者認為已獲得目標信任後，便會誘導對方從 herokuapp.com 子網域下載惡意檔案。

由於此攻擊活動仍處於初期階段，研究人員目前無法確認新發現的攻擊變體是否使用相同的惡意程式。

攻擊目標：以美國企業為主的全球布局
在這波攻擊行動中，超過 80% 的目標位於美國，顯示出明確的地理集中性，同時也有部分企業位於新加坡、日本和瑞士。駭客鎖定了多個產業領域的組織，主要針對大型企業，但中小型企業同樣在其攻擊範圍內。

研究人員發現，無論公司規模大小，攻擊者都願意投入數週時間與受害者建立長期互動。這表明他們會根據目標的潛在價值或入侵難易度來調整攻擊策略。整體而言，從基礎設施、溝通風格到初始入侵點，所有觀察到的攻擊模式都明顯以美國為中心。

本文轉載自 HelpNetSecurity。

       本文擷取自資安人

Sophos 宣布 Sophos Endpoint 現已原生整合並自動納入所有 Taegis 擴展式偵測與回應 (XDR) 及 Taegis 託管式偵測與回應 (MDR) 訂閱中。這項里程碑讓客戶能立即透過單一平台取得整合的預防、偵測與回應能力，同時降低成本並簡化營運。這次整合是在 Sophos 於 2025 年 2 月收購 Secureworks 之後完成的，代表雙方優勢結合的重要里程碑，幫助客戶以更高的投資報酬率擊退網路攻擊。

端點防護仍是當今對抗網路威脅最關鍵的防禦層之一，不僅可提供第一線的攻擊防禦，也能輸出偵測與回應所需的重要遙測資料。隨著 Sophos Endpoint 已納入所有新購與既有的 Taegis XDR 與 MDR 訂閱，客戶可受益於其勒索軟體防禦與攻擊者行動緩解能力，並能在遭遇攻擊時自動部署。此次整合，將讓組織能在降低授權成本的同時強化防護，透過原生整合減少管理負擔，並透過擴展的回應行動加速緩解威脅。

Taegis 仍是一個完全開放的平台，確保客戶能持續從現有的資安投資中獲得完整價值，並保有自由選擇端點防護解決方案的彈性。這也確保客戶在最大化投資報酬率的同時，仍能保留資安預算以因應其他優先需求。

Sophos 產品長 Raja Patel 表示，將 Sophos Endpoint 與 Taegis 整合，可帶來業界頂尖的統一式防護、偵測、調查與回應平台，同時降低客戶成本。仍有太多組織只把端點防護當成一般商品，這正是攻擊者能趁隙而入的錯誤心態。事實上，並非所有端點產品都能防止現今這類『真人操控』的攻擊。Sophos Endpoint 採用『預防優先』的做法，例如 CryptoGuard 防勒索保護與 Adaptive Attack Protection，能在攻擊進一步升級之前就將其阻止。對於需要管理數千台裝置的企業來說，這是一個真正改變遊戲規則的突破。而透過簡化部署與政策管理，我們能幫助組織領先威脅一步，降低總持有成本，並最大化資安投資報酬率。 

Taegis 客戶的主要效益包括： 

降低成本並提升投資報酬率：Sophos Endpoint 現已自動納入所有 Taegis XDR 與 Taegis MDR 訂閱，無需另外購買端點防護解決方案。
 
保有廠商選擇權：Taegis 仍維持開放平台，讓組織可繼續使用其偏好的端點防護方案。 
 
領先的防護力：Sophos Endpoint 已 16 次獲選 Gartner Endpoint Protection Platforms 魔力象限領導者，提供無與倫比的勒索軟體與進階威脅防禦，包括 CryptoGuard 與 Adaptive Attack Protection，並可直接透過 Taegis 主控台進行操作。 
 
延續既有工作流程：Sophos Endpoint 的遙測與偵測結果會匯入 Taegis 平台，讓客戶可持續使用既有的偵測與回應流程。 
 
簡化管理：客戶可直接從 Taegis 下載、安裝與管理 Sophos Endpoint。 

為了支援多元環境，客戶現在可以在三種端點防護部署選項中進行選擇： 


Sophos Endpoint：原生整合，透過單一代理程式提供完整的預防、偵測與回應。
 
非 Sophos 原生整合方案：遙測資料匯入可確保來自 CrowdStrike、Microsoft Defender、SentinelOne 與 Broadcom Carbon Black 等產品的完整可視性。
 
其他非 Sophos 端點防護解決方案：透過僅限偵測的感測器部署方式支援。

Sophos 全球通路、聯盟與企業發展資深副總裁 Chris Bell 表示，這項整合進一步提升我們為客戶與合作夥伴帶來的價值與彈性。將 Sophos Endpoint 納入 Taegis，不僅讓組織獲得更強大的防護、降低成本，並可以簡化營運，對合作夥伴而言，這也創造了全新的機會，能協助客戶整合工具、推動續約並拓展企業合作關係。

Sophos Endpoint 現已全面適用於所有現有與新購的 Taegis XDR 與 MDR 客戶。

             本文擷取自資安人

Check Point Software Technologies Ltd. 宣布在台建置 Check Point Harmony SASE 與 Check Point CloudGuard WAF（網路應用程式防火牆）兩大產品線的 PoP（Point of Presence）節點，提供更低延遲、高可用性的安全存取服務，並進一步強化 AI 為核心的資安技術，協助企業建立更安全的遠距工作及雲端環境。

根據 Check Point 全球網路攻擊數據統計，台灣遭攻擊次數屢居亞太地區之首，以 2025 年第二季為例，台灣每週平均遭受 4,055 次攻擊，遠高於亞太地區 2,874 次。Check Point Software 台灣區總經理劉基章表示，台灣長期面臨高頻網路攻擊，為協助在地企業提升防禦量能，Check Point 本次擴增台灣 PoP 節點，進一步落實在地化部署，也使我們更貼近在地客戶，提供更穩定且快速的服務，未來我們也將持續深化在台投資，協助企業強化資安防禦量能。

隨網路攻擊規模與影響範圍持續擴大，同時混合及遠距辦公模式正驅動資料與應用程式遷移上雲，企業需更採取主動、防護優先的資安策略，以因應外部威脅以及新型態的使用者網路行為。本次新增 Harmony SASE 及 CloudGuard WAF 台灣 PoP 節點正式於 7 月落地啟用，以零信任原則優化雲端及端點網路防護，重點更新包含：
Harmony SASE PoP 節點加持，遠距辦公安全升級
Check Point Harmony SASE 為統一 SASE 平台，整合防火牆即服務（FWaaS）、安全 Web 閘道、零信任網路存取（ZTNA）、SaaS 安全和 SD-WAN 等安全功能至雲端交付平台中，同時於全球超過 80 個 PoP 節點，使用者裝置可自動連接至最近節點。而本次 Harmony SASE PoP 台灣節點架設於電信骨幹網路上，優化過往需由第三地入口接入服務，大幅縮短網路傳輸路徑，有效降低延遲。

此外，過往企業多選擇建立地端或雲端傳統網頁閘道（SWG）監測、過濾網路流量，然單一端防護機制面臨無法完整涵蓋旁路流量，或過長路由所導致的延遲問題；為解決此難題，Check Point Harmony SASE 中的「混合安全網頁閘道（Hybrid SWG）」功能結合裝置端及雲端型 SWG 優勢，可直接於裝置端執行安全檢查，提高整體安全、合規與效能，使企業在混合與遠距環境中享有完整防護。

CloudGuard WAF PoP 節點啟用，雲端防護更即時
CloudGuard WAF 為針對現代應用程式設計的自動化防護服務，透過 AI 技術防禦現代應用層攻擊威脅，有效防禦由軟體安全國際組織 OWASP（Open Worldwide Application Security Project）所表列的 Top 10 漏洞、機器人攻擊與零時差威脅。

本次 Check Point 同步在台啟用 CloudGuard WAF PoP 節點，除大幅提升應用效率外，更可進一步擴大與 AWS、Azure、GCP 等主流雲端服務無縫整合的特性，強化企業於企業多雲環境的安全需求，推動更快速、安全地部署雲端應用。台灣企業也將受惠於更快的反應時間、完善的法規遵循，以及業界領先、量身打造的威脅防護能力。

CloudGuard WAF 日前獲得 Gartner 《雲端 Web 應用程式和 API 保護市場指南》認可，並連續兩年被 GigaOm Radar 報告評選為領導者；在 WAF Comparison Project 評比中更以 99.4% 的威脅偵測率與僅 0.81% 的誤判率成為領先者。

展望未來，Check Point 將以 AI 為核心驅動資安創新，持續提升威脅偵測與資安防護技術發展，同時將逐步深化在地市場投資，協助企業打造安全、穩健且高效的營運環境。

       本文擷取自資安人

Sophos 發佈《亞太及日本地區網路安全未來展望》報告第五版，此報告由 Sophos 與 Tech Research Asia (現已成為 Omdia 一部分) 共同製作。調查結果顯示，該地區的資安倦怠情況依然嚴重，受訪組織中有 86% 表示面臨相關問題 (高於 2024 年的 85%)，其主要原因包括威脅活動增加、資源不足以及日益複雜的法規要求。

2025 年的報告同時指出，AI 對資安帶來「雙重效應」：一方面，以 AI 驅動的資安工具有助於減輕因人員疲勞帶來的部分挑戰；另一方面，員工使用「影子 AI」則讓資安防護更加複雜化。

Sophos 亞太及日本區資安長 Aaron Bugal 表示，威脅加劇、法規要求，以及資源有限這三大壓力，正讓許多資安團隊難以為繼。今年的調查進一步驗證我們在第一線的觀察：資安壓力與倦怠不僅是營運上的問題，更是文化、策略以及深層的人性挑戰。若能謹慎導入，AI 工具可協助擴展營運能力，並加速事件回應，從而紓解壓力。但若員工未經授權、無規範地使用影子 AI，將會帶來許多組織尚未準備好的新風險。

我們正處於一個新時代，資安意識不僅需要涵蓋防範釣魚郵件，還必須延伸到人們如何透過 AI 工具使用與分享敏感資料。對 AI 使用進行治理並劃定清晰的界限，這一點至關重要。
報告的重點觀察


影子 AI 風險升高：46% 的受訪組織表示存在使用未經授權的 AI 工具的情形，即使有 72% 已制定正式的 AI 使用政策。另有 12% 的組織不確定內部是否存在影子 AI 應用。
 
職業倦怠加劇：受壓力與疲勞影響，組織平均每位員工每週損失 4.6 小時工作時間，較 2024 年增加 12%。
 
資安預算持續強勁：85% 的組織計劃在未來一年增加資安預算，其中 24% 的增幅超過 10%。
 
法規是一把雙面刃：雖然有 83% 的受訪組織面臨監管要求，但其中 56% 表示這些要求同時提升了韌性與資安策略。 


資安倦怠已成為企業課題
報告指出，資安壓力不僅僅是技術問題，更是企業經營問題。職業倦怠會影響生產力、事件回應與員工留任，甚至導致資安事件發生。共有 31% 的企業確認曾因倦怠而發生資安漏洞。 

AI 是朋友還是敵人？
AI 的潛力無庸置疑：56% 使用 AI 強化資安工具的受訪者表示，他們的壓力有所減輕，且事件分類與處理速度加快。

然而，未經授權的「影子 AI」快速崛起，已成為主要隱憂。儘管 72% 的組織已建立正式的 AI 治理政策，仍有 46% 的組織回報員工使用了未經批准的 AI 工具，而在部分主要市場比例更高：


印度：62%
新加坡：60%
日本：47%

影子 AI 的風險更因能見度與控制力不足而加劇：


38% 的組織無法掌握實際使用中的 AI 工具
35% 的組織不確定這些工具存取了哪些資料
31% 的組織已經發現部署的 AI 應用存在漏洞

這些發現凸顯出需要更完善的 AI 治理框架，不僅要訂定政策，還必須落實監管，尤其是在 AI 持續融入核心業務運作的情況下。

      本文擷取自資安人

資安研究人員發現一款被視為「EDRKillShifter」進化版的EDR殺手工具。該工具由RansomHub勒索軟體集團開發，目前已被觀察到在八個不同勒索軟體組織的攻擊行動中大量使用。

根據Sophos資安研究人員的分析，這款尚未正式命名的新型工具目前被八個勒索軟體集團採用，包括RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx和INC等知名威脅組織。這類EDR殺手工具的主要目的是協助勒索軟體攻擊者關閉被入侵系統上的安全系統，讓惡意行為者能夠順利部署惡意程式、提升權限、橫向移動，並最終加密網路上的裝置而不被偵測。
攻擊手法與技術特徵
新型EDR殺手工具採用高度混淆的二進制檔案設計，執行時會進行自我解碼並注入合法應用程式中。該工具會主動搜尋具有隨機五字元名稱的數位簽章驅動程式，這些驅動程式使用被盜或過期的憑證進行簽署，並將這些名稱硬編碼進執行檔內。

一旦找到目標驅動程式，惡意驅動程式便會被載入系統核心，這是「自帶有漏洞驅動程式」（BYOVD）攻擊的關鍵步驟，目的是獲取關閉安全產品所需的核心層級權限。這些驅動程式會偽裝成合法檔案，例如CrowdStrike Falcon偵測驅動程式，一旦成功啟動，就會立即終止所有防毒軟體與EDR相關的處理程序，並停止安全工具相關的系統服務。

被這款EDR殺手工具鎖定的資安廠商範圍相當廣泛，包括Sophos、Microsoft Defender、卡巴斯基、賽門鐵克、趨勢科技、SentinelOne、Cylance、McAfee、F-Secure、HitmanPro和Webroot等主要業者。儘管新型EDR殺手工具的不同變種在驅動程式名稱、鎖定的防毒軟體類型和建置特性上有所差異，但它們都使用HeartCrypt進行封裝處理。

值得注意的是，研究證據顯示，即使是競爭對手的威脅團體之間也存在知識和工具共享的現象，這反映出勒索軟體生態系統中的合作模式正在演變。

工具共享策略成為新趨勢
Sophos特別指出，這款工具不太可能是因為被洩漏後才被其他威脅行為者重複使用，而是透過共享和協作框架進行開發的結果。研究顯示，這並非單一EDR殺手工具洩漏後被多方複製使用的情況。實際上，每個攻擊行動都採用了量身打造的不同版本，反映出威脅組織間的深度合作模式。

這種工具共享策略在勒索軟體領域中已十分普遍，特別是針對EDR殺手工具的開發與散佈。除了這款新型工具外，Sophos也發現另一款名為AuKill的類似工具，被Medusa Locker和LockBit勒索軟體集團用於攻擊行動。

SentinelOne在去年的報告中指出，駭客組織FIN7正積極向多個勒索軟體集團銷售其客製化的「AvNeutralizer」工具，客戶包括BlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit等知名威脅組織。這種現象顯示勒索軟體即服務（RaaS）模式正朝向更專業化的分工發展。

隨著勒索軟體集團之間的合作日益密切，企業面臨的威脅環境變得更加複雜且難以預測。這種工具共享模式不僅提升了攻擊效率，也使得防禦方更難以建立有效的對策。

企業應加強對EDR解決方案的多層防護策略，定期更新安全軟體，並建立完善的事件回應機制，以應對這類進階持續性威脅。同時，與此新型EDR殺手工具相關的完整入侵指標（IoCs）已公佈於GitHub儲存庫，供資安團隊參考使用。

本文轉載自 BleepingComputer。

          本文擷取自資安人
 
針對近期微軟SharePoint Server安全漏洞的攻擊活動中，資安研究人員發現一個疑似中國背景的駭客組織Storm-2603，正使用名為AK47 C2的客製化命令與控制框架執行大規模攻擊。根據Check Point Research最新研究報告，該框架包含兩種主要客戶端類型：基於HTTP的AK47HTTP與基於DNS的AK47DNS。

利用SharePoint重大漏洞發動攻擊

微軟威脅情報顯示，Storm-2603組織透過利用SharePoint漏洞CVE-2025-49706和CVE-2025-49704（又稱ToolShell），成功部署Warlock（又稱X2anylock）勒索軟體。這起攻擊事件已影響包括美國核武機構在內的多個重要組織。

VirusTotal樣本分析資料顯示，這個先前未曝光的威脅集團可能自2025年3月開始活躍。該組織採用極為罕見的攻擊策略，同時部署LockBit Black和Warlock等多種勒索軟體家族，這種多重勒索軟體部署手法在已知網路犯罪集團中相當少見。

攻擊範圍涵蓋亞太與拉美地區

Check Point研究團隊透過VirusTotal資料發現，Storm-2603在2025年上半年主要鎖定拉丁美洲和亞太地區的組織機構。攻擊者使用多樣化的工具組合，包括masscan、WinPcap、SharpHostInfo、nxc和PsExec等合法開源與Windows公用程式。

特別值得關注的是，該組織開發了一個自定義後門程式「dnsclient.exe」，透過DNS進行命令與控制通訊，並連接至偽造網域update.updatemicfosoft[.]com。這個後門木馬是AK47 C2框架的核心組件，與AK47HTTP協同運作，具備收集主機資訊、解析伺服器回應及透過cmd.exe執行系統指令等功能。

複合式攻擊手法分析

研究人員發現Storm-2603散布的主要惡意程式包括：


7z.exe和7z.dll：利用合法7-Zip壓縮軟體進行DLL側載攻擊，最終投放Warlock勒索軟體
bbb.msi：透過clink_x86.exe側載惡意DLL，部署LockBit Black勒索軟體


2025年4月，VirusTotal發現一個新型MSI檔案，能同時部署Warlock和LockBit勒索軟體，並投放名為「VMToolsEng.exe」的客製化防毒軟體移除工具。該工具採用自帶易受攻擊驅動程式（BYOVD）技術，透過中國安天實驗室的第三方驅動程式ServiceMouse.sys來終止資安防護軟體。

模糊APT與犯罪集團界線

Storm-2603的攻擊動機目前仍不明確，難以判定其主要目的為間諜活動或經濟利益。值得注意的是，過往確實出現過來自中國、伊朗和北韓的國家級駭客組織同時進行勒索軟體攻擊的案例。

Check Point威脅情報小組經理Sergey Shykevich表示，根據初步評估，該駭客組織主要以經濟利益為動機，但不排除其可能同時具有雙重目的，既從事間諜活動，又追求金錢報酬。

Storm-2603透過BYOVD技術關閉端點防護，並利用DLL劫持部署多種勒索軟體的攻擊手法，進一步模糊了APT組織與一般勒索軟體犯罪集團之間的界線。該組織大量使用PsExec和masscan等開源工具，展現出現代高階攻擊中日益普遍的混合式攻擊策略。

延伸閱讀：SharePoint重大漏洞遭中國三個駭客組織大規模攻擊 美國核武機構也淪陷
本文轉載自 TheHackerNews。

      本文擷取自資安人

Sophos 宣布推出全新 Sophos 合作夥伴計畫，為合作夥伴創造多項全新商機，以加速業務成長、提供頂尖資安解決方案，並在競爭日益激烈的市場中取得差異化優勢。此計畫整合 Sophos 與 Secureworks 的全球合作夥伴，打造一個整合且高效的合作生態系，並在 Sophos 原有、深受全球逾 25,000 家合作夥伴信賴的獲獎合作夥伴計畫基礎上再進化。

Sophos 全球通路、聯盟與企業發展資深副總裁 Chris Bell 表示，全新的 Sophos 合作夥伴計畫旨在因應合作夥伴在當前環境中打造並擴展業務的實際需求，無論是擴展託管服務、推出資安顧問服務，或是拓展既有業務，此計畫都能提供靈活且具獲利性的成長路徑。透過這項新計畫，我們能進一步強化對合作夥伴的承諾，提供最有力的工具、獎勵與支援，協助合作夥伴在快速演進的資安市場中掌握領導地位。

這項全新計畫的推出，代表 Sophos 在服務與支援面向上大幅擴展。藉由整合 Sophos 與 Secureworks 的優勢，新計畫使合作夥伴能以更快的速度、更高的獲利率，並具規模地交付新一代資安成果。根據 Canalys 的研究，企業每投入 1 美元購買資安產品，便會額外投入 2 美元用於由合作夥伴所提供的服務。這一點凸顯出市場對由合作夥伴主導的服務日益增加的需求，以及透過專業服務與技術支援創造全新收益來源的巨大商機。在威脅日益複雜與資安廠商整併趨勢加劇的當下，合作夥伴在協助企業做出資安決策方面的重要性更勝以往。

透過全新的 Sophos 合作夥伴計畫，合作夥伴可依自身獨特的商業模式與市場策略，靈活打造相符的產品與服務，無論是託管服務供應商 (MSP)、經銷商、網路保險合作夥伴、系統整合商，或是生態系中的其他角色，都能因應需求制定最佳方案。此新計畫將協助合作夥伴拓展資安業務、提升營收並強化客戶黏著度，具體展現在以下幾個面向：

統一產品組合，創造市場優勢：
隨著 Sophos 併購 Secureworks，新計畫將整合兩大全球一流的合作夥伴生態系，打造單一且精簡的平台，讓合作夥伴可無縫推動完整產品組合的銷售。合作夥伴將可取得更多獲利與營收成長機會，涵蓋端點、網路、電子郵件、雲端安全、XDR/MDR、身分威脅偵測與回應 (ITDR)、新一代 SIEM 等完整解決方案，並透過 Sophos Central 統一管理，輔以頂尖的顧問與諮詢服務。 
 
以未來為導向的成長架構：
此計畫具備可擴展性與高獲利潛力，透過營收倍增機制、數量折扣與彈性帳單等模式，協助合作夥伴更快速、更高效率地拓展業務。合作夥伴亦可享有高價值獎勵、整合式銷售與行銷資源，以及由 Sophos Academy 提供的全新 MDR 導引式上線訓練與快速入門銷售認證。
 
強化客戶與合作夥伴成功：
此計畫新增多項資源，幫助合作夥伴深化客戶關係、加速解決方案導入、提升留存率，並為客戶交付卓越的資安成果。合作夥伴也能更廣泛地取得 Partner Care、續約與客戶成功團隊的支援，並享有全社群免費的認證培訓課程。
 
簡化且加速業務拓展：
合作夥伴將取得更多便於推動銷售與擴展業務的創新工具，包括 AI 銷售助理，可即時提供入口網站導覽、資源定位與銷售洞察等建議。合作夥伴入口網站也進一步升級，支援導引式報價、裝置與授權管理、商機管理及法規遵循儀表板等功能，讓合作流程更直覺、快速且具效率。

Chris Bell 補充表示，全新 Sophos 合作夥伴計畫的目的是激勵合作夥伴成長，協助他們在競爭激烈的市場中脫穎而出。這項計畫提供合作夥伴在業務成功所需的一切資源，不僅可帶動實質營收成長，也能為我們共同的客戶實現卓越成果。這正是我們持續實現對合作夥伴承諾的方式。我們以合作夥伴為核心，共同打造最頂尖的資安產品、服務與流程。

        本文擷取自資安人

Check Point Software Technologies Ltd.的威脅情報部門Check Point Research最新數據顯示，2025年第二季全球各組織每週遭受網路攻擊的次數平均為1,984次，相較2024年同期增加21%，與兩年前相比更增長58%。

台灣情況格外嚴峻：平均每週遭受4,055次攻擊，位居亞太地區之首，攻擊頻率是全球平均值的兩倍以上。
2025年Q2全球網路攻擊統計分析
教育與研究機構成為最大攻擊目標，每週平均遭受4,388次攻擊，年增率達31%。資安防護資源相對不足，加上學生與教職員身份資料的高利用價值，成為駭客鎖定的主因。

政府與軍事機構以每週平均2,632次攻擊位居第二，年增26%。這些機構因掌握敏感資料與具備潛在地緣政治影響力而成為攻擊目標。通訊業則以每週平均2,612次攻擊緊追在後，年增38%。作為國家關鍵基礎設施，通訊業掌握大量使用者資訊，同樣面臨高度威脅。

非洲成為當季平均遭受最多網路攻擊的地區，每週平均3,365次攻擊，年增14%。亞太地區以每週平均2,874次攻擊位居第二，年增15%。在亞太區域中，台灣的攻擊頻率明顯高於區域平均值。

勒索軟體威脅持續升溫，2025年第二季總計通報達1,600起事件。北美地區佔所有通報案件的53%，歐洲則佔25%，顯示這兩個地區仍是勒索軟體攻擊的主要目標。

台灣威脅情資深度分析（2025年1-7月）
2025年1月至7月初的統計顯示，台灣受攻擊次數最多的產業為硬體供應商，平均每週遭受8,139次攻擊。政府與軍事機構以5,042次攻擊位居第二，製造業則以4,983次攻擊排名第三。

硬體供應商成為首要目標，反映出駭客對供應鏈攻擊的重視，透過攻擊上游廠商來影響更多下游企業。製造業的高攻擊頻率則與台灣作為全球製造重鎮的地位密切相關。


主要威脅類型分析
台灣最猖獗的惡意軟體為Remcos，這是一種功能強大的遠端存取木馬程式。常見威脅還包括另一種遠端存取木馬Agent Tesla，以及竊密軟體Androxgh0st與AZORult。值得注意的是，Androxgh0st同時具備殭屍網路功能，能夠進行大規模協調攻擊。

資訊外洩成為最常見的漏洞利用類型，影響78%的台灣組織。這個比例遠高於全球平均值，顯示台灣企業在資料保護方面仍有改善空間。
 
科技巨頭持續成為冒用對象
科技業仍是2025年第二季釣魚攻擊中最常被冒用的產業。Microsoft、Google和Apple等產業巨頭因其服務廣泛運用於帳號認證及日常工作流程，成為駭客冒用的高風險目標。攻擊者利用使用者對這些品牌的信任，製作高仿真的釣魚頁面來竊取帳號資訊。
 
娛樂與旅遊業成新興目標
Spotify自2019年第四季以來首次重新進入前十名，顯現娛樂服務平台如今也成為資安攻擊的重點對象。這反映出駭客攻擊策略的演進，開始針對使用者日常生活中更常接觸的服務進行攻擊。

零售與旅遊產業如Amazon、Booking.com則因季節性購物與旅遊高峰，被冒用頻率顯著上升。特別值得關注的是，Booking.com被用於網路釣魚域名攻擊的次數與今年初相比劇增1,000%，顯示攻擊者正積極因應使用者行為與季節性趨勢調整攻擊策略。


Check Point資安防護建議
面對網路攻擊規模與影響範圍持續擴大，組織需採取主動策略，而非僅被動回應。以預防為優先的策略結合分層防禦（Layered Defense）和持續可視性，仍然是關鍵防護原則。


技術防護層面
在威脅預防能力方面，組織應導入入侵防禦系統（IPS）、防勒索軟體工具與威脅情資等先進資安技術，建立第一道防線阻擋潛在威脅。同時需要強化端點與網路防護，部署功能完善的防火牆、電子郵件安全機制與端點保護平台（EPP），有效降低整體攻擊面。
 
人員與流程管理
使用者資安意識的提升同樣重要，組織應定期進行資安訓練與釣魚模擬演練，協助員工識別並通報可疑行為。建立完善的備份與復原機制也不可忽視，包括建立更新且分隔的備份資料，並定期測試復原流程，以減少勒索攻擊或其他中斷事件造成的影響。
 
架構與情資整合
導入零信任架構能夠透過持續的使用者權限驗證與網路資源分段，有效降低橫向移動風險。持續掌握威脅情資與警示資訊，有助於組織預先掌握潛在風險，做好防護準備。

Check Point強調，單一解決方案並無法完全隔絕資安風險。然而，藉由多層、協作的防護措施，組織可大幅提升韌性，降低資安攻擊風險與影響。現今的資安防護需要整合技術、人員與流程三個面向，才能建構有效的整體防禦體系。

       本文擷取自資安人

雖然大型語言模型 (LLM) 在 AI 領域引發廣泛討論，但其高昂的成本也讓許多企業望而卻步。Sophos 即將發表的研究指出了一條嶄新的方向，讓資安公司在預算內同樣能發揮 AI 的強大效益：導入小型 AI 模型。

透過間歇性地使用 LLM 來更有效地訓練小型模型，Sophos 成功打造了一系列速度快、效率高，而且可以實際用於商業應用的小型 AI 模型，這些模型在分類惡意網站等任務上，準確度幾乎可媲美 LLM，甚至在某些情境中表現更佳。

此方法的關鍵在於三大技術：知識蒸餾 (Knowledge Distillation)、半監督式學習 (Semi-Supervised Learning) 以及合成資料生成 (Synthetic Data Generation)：

知識蒸餾：透過大型模型將已學會的知識傳授給小型模型，提升其效能，同時避免大規模部署所帶來的龐大負擔。這在標籤雜訊不容忽視、無法完全手動重新標註的情境下，這種方法特別實用。
 
半監督式學習：利用大型模型為未標記資料自動加註標籤，進而擴充訓練小型模型所需的資料集深度。
 
合成資料生成：由大型模型產出新的合成樣本，進一步強化小型模型的訓練與韌性。