全部文章分享

      本文擷取自資安人

Sophos推出 MSP Elevate 計畫，協助託管服務供應商 (MSP) 加速業務成長。透過此全新計畫，Sophos 能協助 MSP 提供高價值且具差異化的網路安全服務，強化客戶的安全防禦，同時透過投資回饋鼓勵業務擴展，推動長期成功。

隨著現今網路攻擊手法日益複雜且進階，越來越多企業仰賴 MSP 提供全年無休、由專業人員主導的網路安全監控與管理。根據《2024 Sophos MSP 觀點報告》，有高達 81% 的 MSP 已提供託管式偵測與回應 (MDR) 服務，顯示 MDR 已成為 MSP 的核心業務焦點。MSP Elevate 計畫讓 MSP 能以高價值服務提供者的角色與同業區隔，透過專屬的 Sophos MDR 服務方案為客戶帶來實質的業務成長效益。

同時管理多套網路安全平台不僅造成 MSP 業務負擔，也耗費寶貴的工時。MSP 評估若能將管理操作整合至單一平台，則日常管理時間可減少達 48%。MSP Elevate 計畫提供 Network-in-a-Box 套裝組合，讓 MSP 能透過統一的 Sophos Central 平台管理整套網路設備與通訊流程，進一步釋放人力資源以投入業務拓展。此外，MSP 業者最憂心的風險之一是缺乏內部網路安全專業人才。Sophos 的網路解決方案可在客戶環境中自動回應威脅，協助 MSP 提升客戶防禦能力，同時不增加管理負擔。 

Sophos 全球通路、策略聯盟與企業發展資深副總裁 Chris Bell 表示，MSP Elevate 是 Sophos 與 Secureworks 聯手後，首個針對 MSP 推出的業務成長推動計畫。目前協助超過 25 萬家 MSP 客戶抵禦網路攻擊，並持續尋找機會，在合作夥伴與我們共同成長時給予獎勵與投入資源。MSP Elevate 透過提供 MSP 專屬的解決方案存取權限、折扣、回饋金與培訓，協助夥伴長期成長，並為客戶帶來最大價值。

Sophos MSP Elevate 計畫的主要優勢包括：

取得專屬 Sophos MDR 套裝組合：可取得 Sophos MDR Complete 高階服務等級，包含 24/7 全天候事件回應、一年資料保留期、Sophos Network Detection and Response (NDR) 功能，以及所有 Sophos 整合套件，讓防禦人員能全面掌握客戶環境中的各項遙測資料，加速威脅偵測與回應流程。
 
簡化銷售流程：加快部署速度並降低 MSP 的管理負擔。透過全新的 MDR 套裝組合，合作夥伴可為客戶分配單一 SKU，輕鬆因應現有與未來的所有 MDR 需求。
 
優惠的 Network-in-a-Box 硬體套裝組合：可以優惠價格取得 Sophos 進階網路安全解決方案，包括 Sophos Firewall、Switch 與無線存取點。這些產品可協同自動化威脅回應，並透過 Sophos Central 進行集中管理。 
 
依成長表現提供回饋獎勵：致力於與合作夥伴共同成長與投資，此計畫將針對提升 Sophos MSP 月營收的 MSP 夥伴提供獎勵與肯定。
 
提供架構師等級的培訓課程：提供 Sophos 端點與防火牆相關課程，協助 MSP 提升內部服務交付能力。
 
參加限定邀請的 Sophos Summit：獲得專屬的實作訓練與啟用課程、專家問答時段、參加專屬 Sophos 活動，以及與 Sophos 高層面對面交流，以參與產品藍圖與 MSP 策略。 
 
未來新增福利：計畫將持續引進新福利，進一步提升 MSP 的獲利能力、強化客戶防禦力，並提升其作為服務供應商的整體價值。

Sophos 產品長 Raja Patel 表示，MSP Elevate 計畫讓 MSP 能夠迅速部署全方位的 MDR 服務，並藉由整合客戶環境中所有可用的遙測資料來消除防禦盲點。這種可視性能加快威脅偵測與回應速度，同時協助客戶最大化既有技術投資的效益。此外，該服務可隨著技術環境的演進自動調整，為客戶的防禦能力提供不會過時的保障，讓企業在商業與網路安全層面皆能安心無虞。

       本文擷取自資安人

Sophos 發布了《2025 年度威脅報告》，揭示 2024 年中小型企業所面臨的重大安全威脅。根據報告，攻擊者入侵網路的首要途徑是透過防火牆、路由器和 VPN 等網路邊緣設備，這類設備約佔近 30% 的初始入侵案例。

Sophos 首席威脅研究員 Sean Gallagher 表示，過去幾年來，攻擊者積極針對邊緣設備發動攻擊。使問題更加嚴重的是，環境中有越來越多設備已達生命週期終點 (EOL)，Sophos 將這種現象稱為『數位殘餘』。由於這些設備直接暴露在網際網路上，且通常在修補優先順序中排名較後，因此成為滲透網路的有效手段。

報告指出，VPN 是最常見的入侵點，佔所有事件的 25% 以上，並且佔勒索軟體和資料外洩事件的四分之一。

Gallagher 解釋道，攻擊者現在不再需要部署自製惡意軟體，而是會利用企業現有的系統來提升靈活性，並藏身於安全管理人員不易察覺的角落。

Sophos 報告的其他重點發現包括：

勒索軟體仍是最大威脅：勒索軟體佔中型企業事件回應案件的 90% 以上，小型企業則佔 70%。
多因素驗證已經不敷使用：攻擊者會利用中間人攻擊竊取驗證憑證，藉由仿冒驗證流程的釣魚平台繞過多因素驗證。
攻擊者偏好商用遠端存取工具：最常被濫用的合法工具是商用遠端存取工具，佔事件回應與託管式偵測與回應 (MDR) 案件的 34%。
攻擊手法不斷進化：攻擊者開始濫用 QR 碼和語音訊息進行社交工程攻擊，甚至利用電子郵件轟炸，在短短一至兩小時內發送上千封垃圾郵件。

      本文擷取自資安人

國家級駭客組織（Nation-state actors）近期將攻擊目標轉向中小企業，尤其鎖定為大型企業提供商品和服務的供應商。

根據 Broadcom 旗下賽門鐵克（Symantec）威脅獵捕團隊的資安專家 Eric Chien 指出，中小企業普遍忽視資安防護，且未能意識到自身在供應鏈中的關鍵角色。大型企業雖然持續保持資安警覺，但最新數據顯示，駭客正加強對中小企業的攻擊。

他進一步指出，一般企業可能認為自己只需擔心來自中國的威脅，而不會成為伊朗、俄羅斯或北韓的攻擊目標。但事實並非如此，國家級駭客主要鎖定的就是民間企業，特別是中型規模的業者。

除了 Broadcom 旗下的賽門鐵克外，其他資安業者也對中小企業面臨的資安威脅發出警告。根據資安公司 Sophos 上週發布的報告指出，雖然整體勒索軟體攻擊次數有所下降，但攻擊造成的損失持續上升，且中小企業正成為主要攻擊目標。數據顯示，70% 的小型企業資安事件與勒索軟體有關，而在中型企業（員工人數介於 500 至 5,000 人）中，這個比例更高達 90%。

延伸閱讀：網路邊緣設備成為中小企業資安攻擊的主要入口

Sophos 首席威脅研究員 Sean Gallagher在報告中指出，中小企業面臨的資安威脅瞬息萬變，駭客不斷改變攻擊手法，並迅速利用新舊資安漏洞進行攻擊。在缺乏外部支援的情況下，大多數小型組織難以應對如此複雜的資安環境，就連擁有專職資安團隊的組織也感到吃力。
供應鏈中的資安弱點
資安事件最常發生於五大產業：金融、政府部門、科技業、製造業和服務業，這些產業佔所有事件的三分之二（65%）。攻擊者通常會鎖定使用已知漏洞軟體的企業，或透過釣魚攻擊入侵系統。Broadcom 的資安專家 Chien 指出，這些都是資安防護中最容易遭受攻擊的目標。

在當今全球經濟緊密連結的情況下，絕大多數中小企業都與大型企業有業務往來。專家表示，一般的中小企業，特別是製造業，往往不認為自己會成為攻擊目標。他們沒有意識到自己是供應鏈的重要環節，為其他企業提供產品或服務，而這些企業可能又是更大型企業的供應商。

根據資安事件分析，身分驗證服務供應商及小型製造商是最常見的攻擊目標。能源產業雖然僅佔全部攻擊事件的 4%，但在 Volt Typhoon（伏特颱風）攻擊事件中，目標多為小型關鍵基礎設施業者。此外，中國和伊朗針對水利設施的網路攻擊，也主要鎖定規模較小的企業。

延伸閱讀：中國駭客組織Volt Typhoon 疑似利用 Versa 零時差漏洞攻擊美國網路服務供應商

攻擊中小企業：不只是經濟間諜
「打工兼職」已成為常見現象，駭客集團除了進行間諜活動的「正職」外，還會兼差從事網路犯罪。資安專家表示，國家級駭客組織今天可能針對大使館進行網路間諜活動，明天就轉向發動勒索軟體攻擊。這種手法在俄羅斯和東歐的網路威脅組織中較為普遍，而研究人員發現中國的駭客組織也開始採用類似策略。

這些活動與政府並無關聯，攻擊者並非利用勒索軟體來掩飾破壞行動，而是單純為了賺取額外收入。

專家指出，多因子驗證（MFA）和端點偵測與回應（EDR）解決方案能提供最大的投資效益（儘管中型企業對 MFA 的採用率仍然偏低）。此外，相較於單純使用 EDR，若能導入委外的資安監控與應變服務（MDR），將能大幅提升中小企業的資安防護能力，這也是網路保險業者所認同的觀點。

整體而言，小型企業可以借助資安服務的規模經濟優勢，建立與大型企業同等級的網路防禦體系。無論是政府機關或大型銀行所採用的資安產品和技術，在功能和定價上，都與中型市場及中小企業的解決方案完全一致。

本文轉載自 DarkReading。

       本文擷取自資安人

根據 Sophos 分析，2024 年中小企業（SMB）的資安事件中，30% 的攻擊來自遭入侵的網路邊界設備。這類設備包括 VPN 設備、防火牆及其他遠端存取設備。Sophos 威脅偵測與回應（MDR）的追蹤數據顯示，這些設備已成為網路入侵的主要來源，其中 VPN 漏洞利用佔所有攻擊事件的 19%。

2024年，25% 的勒索軟體和資料外洩事件都是從入侵 VPN 設備開始的。

網路邊界設備因為通常缺乏端點偵測與回應（EDR）等資安工具的支援，成為駭客覬覦的目標。在Google Cloud Next 2025大會中，Google 威脅情報副總裁 Sandra Joyce 強調，駭客正持續對這些設備的漏洞發起攻擊。

Sophos 也指出，妥善管理所有系統的生命週期是預防大多數攻擊的關鍵，這包括網路路由器、防火牆、VPN 設備，以及面向網際網路的應用程式和伺服器。若設備未及時更新修補或已超過供應商支援期限，就容易成為資安情資掮客和勒索軟體攻擊者的目標。這些攻擊者會進行大規模網路掃描，專門尋找易受攻擊的系統。

根據最新報告，駭客越來越頻繁地濫用合法遠端存取工具，而這些工具在 34% 的資安事件中都扮演關鍵角色。

攻擊者主要利用這些工具來隱藏初期入侵後的行動，包括部署惡意程式以及命令和控制工具。研究人員發現，攻擊者常透過濫用試用版或使用盜版授權來部署這些工具。2024 年，Sophos 觀察發現最常被濫用的遠端存取工具有 PSExec、AnyDesk 和 ScreenConnect。
遠端勒索攻擊劇增
研究報告指出，「遠端」勒索軟體攻擊呈現顯著上升趨勢。相較於 2023 年增加了 50%，與 2022 年相比更大幅成長 141%。這類遠端勒索攻擊源自未納管的設備，超出一般端點防護軟體的偵測範圍。攻擊者透過網路檔案共享連線，直接存取並加密其他機器上的檔案，無須在目標設備上執行勒索軟體。

此手法能有效規避惡意程式掃描、行為偵測和其他防禦機制的監控。

Sophos MDR 追蹤的中小企業資安事件中，以勒索軟體和資料竊取攻擊最為常見，約佔 30% 的比例。不過，由於資安防禦能力提升，加上部分主要勒索軟體即服務（RaaS）組織遭到瓦解，2024 年的整體事件數量較 2023 年有所下降。

社交工程手法的新趨勢
Sophos 最新研究發現，攻擊者持續改良其社交工程策略，不僅規避偵測工具，更提升攻擊效率。2024年出現的主要社交工程趨勢如下：


Microsoft Teams 語音詐騙：2024 年下半年，研究人員發現針對 Microsoft Teams 的混合式攻擊手法。攻擊者先向目標組織的特定人員發送釣魚郵件，再利用自有的 365 帳號，透過 Microsoft Teams 假冒技術支援進行通話。
 
多重要素驗證釣魚：因應 MFA 普及，攻擊者發展出即時竊取憑證和驗證碼的新方法。2024年常見使用 Tycoon 和 EvilProxy 等釣魚即服務平台。
 
生成式 AI 應用：網路犯罪分子日益利用生成式 AI 工具執行社交工程，包括產生假帳號的圖片、影片和文字內容，用於與目標溝通時掩飾其語言能力不足和身分問題。
 
QR 碼釣魚攻擊：攻擊者在釣魚郵件中採用 QR 碼來隱藏惡意連結和附件，以規避傳統資安防護機制。​

本文轉載自 InfosecurityMagazine。

         本文擷取自資安人

Sophos 發布《2025 Sophos 主動攻擊者報告》，揭露攻擊者在 2024 年超過 400 起託管式偵測與回應 (MDR) 及事件回應 (IR) 案例中的行為模式與技術手法。報告顯示，攻擊者取得網路初始存取權的主要方式 (占所有 MDR 與 IR 案件的 56%) 是利用有效帳號來攻擊外部遠端服務，其中包括邊緣設備，如防火牆與 VPN。

攻擊者用合法帳號從遠端登入系統，這種方式正好就是大多數攻擊發生的主要原因之一。連續第二年，「帳號憑證遭入侵」是最主要的攻擊根本原因 (占 41%)，其次為「已遭利用的漏洞」(21.79%) 以及「暴力破解攻擊」(21.07%)。
瞭解攻擊速度
在分析 MDR 與 IR 調查時，Sophos X-Ops 團隊特別針對勒索軟體、資料外洩與資料勒索等案例，評估攻擊者在組織內部攻擊各階段的推進速度。在這三種類型的案件中，從攻擊開始到資料外洩的中位時間僅為 72.98 小時 (約 3.04 天)。此外，從資料外洩到攻擊被偵測的中位時間僅為 2.7 小時。 

Sophos 外勤首席資安長 John Shier 表示，被動式防護已無法滿足現今的需求。雖然預防依然重要，但快速回應才是關鍵。企業必須主動監控網路環境，並針對觀察到的遙測數據迅速採取行動。面對具備動機強烈的攻擊者所發動的協同攻擊，企業也需要採取協同防禦。對許多組織而言，這代表必須結合自身的業務知識與專家主導的偵測與回應能力。報告證實，具備主動監控機制的組織能更快偵測攻擊，並獲得更佳的防禦成果。

《2025 Sophos 主動攻擊者報告》其他重點發現：


攻擊者最快 11 小時內即可掌控系統：攻擊者從發動初始行動到首次 (且經常成功) 嘗試入侵 Active Directory (AD) 之間的中位時間僅為 11 小時。AD 可說是任何 Windows 網路中最重要的資產之一，一旦遭入侵，攻擊者將更容易全面控制組織。
 
Sophos 案例中最常見的勒索軟體集團：2024 年最常見的勒索軟體集團為 Akira，其次是 Fog 和 LockBit (即使年初已有多國政府聯手打擊 LockBit，該集團仍然活躍)。
 
平均潛伏時間降至僅 2 天：整體潛伏時間 (從攻擊開始到被偵測的時間) 自 4 天降至 2 天，主要歸功於納入了 MDR 案件資料，對結果產生了重要影響。
 
IR 案件中的潛伏時間：在 IR 案件中，勒索軟體攻擊的潛伏時間維持在 4 天，而非勒索軟體攻擊的潛伏時間則為 11.5 天。
 
MDR 案件中的潛伏時間：在 MDR 調查中，勒索軟體攻擊的潛伏時間僅為 3 天，非勒索軟體攻擊則縮短至僅 1 天，顯示 MDR 團隊能更快速偵測與回應攻擊。
 
勒索軟體集團偏好深夜行動：2024 年有 83% 的勒索軟體執行檔是在目標企業的非上班時間部署。
 
遠端桌面通訊協定 (RDP) 持續成為濫用重災區：RDP 涉及 84% 的 MDR／IR 案件，是遭濫用最頻繁的 Microsoft 工具。

為強化防禦，Sophos 建議企業採取以下措施：


關閉暴露的 RDP 連接埠
儘可能使用可防網路釣魚的多重要素驗證 (MFA)
及時修補存在漏洞的系統，特別是面向網際網路的裝置與服務
部署 EDR 或 MDR，並確保進行 24 小時不間斷的主動式監控
建立完整的事件回應計畫，並定期透過模擬演練或情境推演來驗證其效用

         本文擷取資安人

根據網路安全公司Sophos發布的最新研究報告，駭客正透過偽裝成合法即時通訊平台的惡意應用程式，向台灣用戶散布PJobRAT惡意軟體。

這些名為SangaalLite和CChat的惡意應用程式可在多個WordPress網站上下載，這些網站目前已被下線。研究人員認為，由於近期未觀察到相關活動，此攻擊活動可能已結束或暫停。

PJobRAT是一種Android遠端存取木馬，最早於2019年被識別，過去曾被用於竊取SMS訊息、聯絡人、裝置資訊、文件和媒體檔案。2021年，該惡意軟體曾透過假冒的約會和通訊應用程式攻擊印度軍事人員。

針對台灣用戶的最新網路間諜活動持續了近兩年，但僅影響有限數量的用戶。研究人員表示，威脅行動者可能專注於針對特定個人進行攻擊。

與早期版本不同，最新的PJobRAT惡意軟體不包含竊取WhatsApp訊息的內建功能。然而，它賦予攻擊者對受感染裝置更大的控制權，使他們能夠從各種應用程式竊取數據，利用受感染裝置滲透網路，甚至在達成目標後移除惡意軟體。

目前尚不清楚PJobRAT背後的威脅行動者如何在最新攻擊中分發惡意應用程式。先前，他們曾使用第三方應用商店、架設在被入侵網站上的釣魚頁面、使用縮短連結隱藏最終目的地，以及假冒身分來欺騙受害者。

本文轉載自therecord.media。

      本文擷取自資安人

Sophos X-Ops 發布了一項研究《PJobRAT 再度來襲，瞄準聊天應用程式》，內容包含 Android 遠端存取木馬 (RAT) PJobRAT 的再度活躍，而該惡意程式專門針對台灣的 Android 使用者。PJobRAT 可從受感染的 Android 裝置竊取簡訊、電話聯絡人、設備與應用程式資訊、文件及多媒體檔案。

Sophos 資深威脅研究員 Matt Wixey 表示，PJobRAT 最近的攻擊活動清楚展現了威脅行為者的發展軌跡，充分說明了他們如何不斷改進技術並重新調整攻擊目標。特別值得注意的是，PJobRAT 從原本具備竊取 WhatsApp 訊息的特定功能，轉變為執行 Shell 指令以提升控制權限，這是一次顯著的技術升級。

這正是提醒大家不要從不可信來源安裝應用程式的關鍵時刻。毫無疑問，PJobRAT 的開發者從上次的攻擊活動中汲取了經驗，未來我們可能還會再次見到這款惡意程式——問題在於它何時、在哪裡、鎖定哪些目標，以及將具備哪些新功能。

        本文擷取自資安人

 勒索軟體是當今企業面臨的最重大威脅之一。對抗勒索軟體並非易事，特別是威脅攻擊者不斷精進其技術和手法時。

在 2023 年底，Sophos X-Ops 發現「遠端加密」攻擊大幅增加：勒索軟體攻擊者入侵受感染且通常防護不足的端點，並加密同一網路中其他裝置上的資料。 

這一趨勢持續加速，Sophos X-Ops 現在的報告顯示 2024 年遠端勒索軟體攻擊較前一年增加了 50%，自 2022 年以來更累計成長 141%，突顯此類威脅的嚴重性。

2022 年 1 月至 2024 年 12 月期間遠端加密事件的數量 (標準化為百分比)


如上圖所示，遠端加密攻擊在 2022 年及 2023 年上半年相對較少，但在 2023 年下半年大幅增加。此後，雖然數量略有波動起伏，但仍維持在相對高的水準。

遠端勒索軟體數量上升的趨勢
雖然遠端加密並非新技術，但近年來已成為現代勒索軟體集團常用的手法，因其能繞過許多端點安全產品。這是因為加密過程發生在防禦機制 (如記憶體掃描和行為監控) 的監測範圍之外。 

根據 Microsoft 2023 年《數位防禦報告》，約 60% 的人工操作勒索軟體攻擊涉及遠端加密，且 80% 的入侵是源自未受管理的裝置。在 2024 年的報告中，Microsoft 進一步發現 70% 的成功攻擊和遠端加密有關。

Sophos 全球現場 CISO 兼總監 Chester Wisniewski 表示，遠端加密現已成為勒索軟體集團的標準手法。每個組織都存在盲點，而勒索軟體攻擊者一旦發現弱點，便會迅速加以利用。企業必須高度警惕，確保對整個 IT 環境的可見性，並積極監控任何可疑的檔案活動。

保持獲得防護的對策
為了防範遠端勒索軟體，Sophos 建議採取以下措施：


實行積極的資產管理 – 定期追蹤所有裝置和端點，識別漏洞和未經授權的存取
識別未管理的裝置 – 持續掃描可能成為攻擊入口的惡意裝置
使用監控檔案活動的安全解決方案 – 部署工具，即時追蹤檔案的移動和傳輸，以偵測出可疑行為
培養良好的網路安全習慣 – 強制使用強式密碼、定期更新、使用多因素驗證和員工訓練，以減少風險

         本文擷取自資安人

社交媒體平台 X（前身為 Twitter）於昨日遭受多波大規模 DDoS 攻擊，導致全球用戶無法正常使用該服務。親巴勒斯坦黑客組織「Dark Storm Team」宣稱對此次攻擊負責。

根據 Downdetector 的數據，從週一上午 9:30 至晚間 18:20 期間，數萬名用戶報告 X 服務中斷，其中大多數（58%）是使用行動應用程式的用戶。這些中斷發生在全球各地，造成用戶無法訪問 X 網站和應用程式。

Elon Musk 在平台上確認了這次攻擊事件：「X 遭受了（現在仍在遭受）大規模網路攻擊。我們每天都受到攻擊，但這次動用了大量資源。這可能是一個大型組織和/或某個國家所為。」
攻擊來源
「Dark Storm Team」是一個親巴勒斯坦的駭客團體，該組織於 2023 年成立，此前曾針對以色列、歐洲和美國的組織發動攻擊。該團體在其 Telegram 頻道上發布聲明，宣稱正在對 X 進行 DDoS 攻擊，並分享了 check-host.net 網站的截圖和連結作為攻擊證明。

Check-host.net 是一個允許訪問者從世界各地不同伺服器檢查網站可用性的工具，經常被用於 DDoS 攻擊期間證明攻擊正在進行。

雖然 Musk 後來在接受外沒採訪時表示，大量 IP 地址來自烏克蘭，但未提供證據。安全專家指出，即使這是真的，攻擊者也可能使用位於烏克蘭的受感染伺服器來隱藏其真實位置。

為了應對這次攻擊，X 現在正由 DDoS 防護服務提供商 Cloudflare 進行保護。當可疑 IP 地址連接到網站時，特別是當單一 IP 地址產生過多請求時，Cloudflare 會顯示驗證碼（captcha）。

目前，help.x.com 網站部分對所有請求都顯示 Cloudflare 驗證碼。

根據 Gcore 最近發布的數據，2024 年下半年 DDoS 攻擊在數量和規模上都有所增加。該安全供應商聲稱，2024 年下半年 DDoS 攻擊同比增加了 56%，從上半年到下半年增加了 17%。

對於使用者來說，這意味著潛在的服務中斷、停機和對基本網站和應用程式的訪問受限。Check Point 的 Web 3.0 首席技術專家 Oded Vanunu 解釋說：「雖然公司正在努力減輕這些攻擊的影響，但用戶可能會在受影響的平台上遇到延遲、錯誤或中斷。對於企業和組織來說，這強化了加強網路安全防禦的需求，特別是針對可能癱瘓線上服務的 DDoS 攻擊。」

       本文擷取自資安人

Check Point Software Technologies Ltd. 日前在曼谷舉辦年度網路安全盛會 CPX 2025，分享為高度互聯世界提供安全防護的願景。來自亞太地區的近 1,650 名員工、客戶和合作夥伴齊聚一堂，Check Point 展示 AI 安全防護創新技術，並介紹混合網狀安全防護策略如何革新網路防禦，助力企業有效防範不斷演變的威脅。
 
根據 Check Point 威脅情資數據，勒索軟體、駭客激進主義及 AI 網路犯罪加劇全球複雜網路攻擊數量，亞太地區組織在過去六個月平均每周遭受 2,915 次攻擊，遠超過全球平均每周 1,843 次。
 
亞太地區主要趨勢：

過去 30 天，52% 的惡意檔案透過網頁型（Web-based）攻擊傳播，顯示網路釣魚詐騙急劇增加。
縱觀全球，勒索軟體攻擊佔所有網路事件的 4%，而亞太地區的比例高達 6.3%。 

亞太地區最常遭受攻擊的產業：


教育與研究：各組織每周遭受 7,372 次攻擊（全球為 4,127 次）
醫療保健：各組織每周遭受 5,225 次攻擊（全球為 2,441 次）
政府與軍事：各組織每周遭受 4 834 次攻擊（全球為 2,593 次） 

Check Point Software 執行長 Nadav Zafrir 表示，隨著邁向新時代，AI 既是最大的威脅，亦是最有力的防禦利器。有鑒於網路犯罪分子正利用 AI 擴大攻擊規模，因此 Check Point 將 AI 融入整個安全防護架構，提供以預防為主的保護，目標不僅是守護企業當前的安全，還要為未來威脅做好準備。

引領 AI 安全防護：Check Point 最新創新成果
隨著 AI 驅動的網路威脅不斷升級，組織亟需可靠的安全解決方案，以防範持續擴大的攻擊面和不斷演變的攻擊技術。為應對此挑戰，Check Point 推出全新 AI 安全防護功能，重新定義網路防禦。


Infinity AI Copilot 助力自動安全維運：這款具情境感知能力的生成式 AI 助理能簡化安全管理、自動執行策略並加速威脅回應。
 
AI 驅動威脅防禦和自動化事件回應：透過 Infinity Playblocks，組織可使用自然語言 AI，實現跨 Check Point 和第三方環境的自動化安全操作編排。
 
基於 AI 的策略洞察和審計，重塑零信任策略：全新 Infinity Identity 功能可跨混合環境提供一致的存取控制，確保遵循不斷變化的安全策略和法規要求。 

Check Point Infinity 平台再度樹立網路安全防護標杆。在 Miercom 2025 年安全基準測試中，Infinity 平台的惡意軟體攔截率高達 99.9%，0+1 日惡意軟體防禦率最高。此外，Check Point 防火牆記錄的已知被利用漏洞（KEV）風險最低，僅有 1 個 KEV，遠低於競品的 11、16 和 21 個。
 
Check Point 在以下三大 GigaOm 雷達報告中均獲評為「領導者」：


應用與 API 安全防護
雲端網路安全防護
雲端工作負載安全防護 

Check Point Software 創辦人暨執行董事長 Gil Shwed 表示，安全建立在信任之上。憑藉著超過三十年的產業領導經驗，Check Point Infinity 作為一個真正的安全防護平台，已樹立 AI 安全防護的黃金標準，可幫助企業從容應對不斷變化的網路環境。

未來安全防護：AI、自動化和統一保護
隨著網路攻擊年增達 44%，加上安全工具分散和維運複雜性，企業正面臨日益嚴峻的挑戰。Check Point 採用 Infinity AI 的混合網狀安全防護模型，可提供統一的安全策略、主動式威脅防禦和 AI 驅動的自動化零信任策略執行。透過整合 Check Point 和第三方解決方案即時威脅情資，企業能有效抵禦不斷演變的威脅。
 
Check Point Software 亞太及日本區總裁 Ruma Balasubramanian 表示，在當今這個高度互聯的世界，必須採用 AI 防禦技術對抗 AI 威脅。Check Point Infinity 安全防護平台專為 AI 設計，並由 AI 驅動，提供卓越的威脅防禦、統一安全管理和即時協作情資。在邁向自主零信任架構的過程，Check Point 始終走在前線，堅持以預防為主的安全防護，幫助企業保持靈活、安全，並為未來做好準備。

雲端工作負載安全防護：為企業雲端環境提供完整堆疊保護
Check Point 最近宣佈與雲端原生應用程式保護平台（CNAPP）供應商 Wiz建立戰略合作夥伴關係。在緊密合作下，Check Point 與 Wiz 將在以下領域充分發揮雙方優勢：


有效管理混合環境，跨物理、虛擬及雲端環境應用多層防護方法，實現無縫安全保護
快速檢測和回應工作負載，以儘早發現並緩解攻擊，避免影響業務營運
自動化執行配置，確保在雲端環境中，工作負載上線前已通過安全和合規性策略檢查

        本文擷取自資安人

Sophos 委託進行的一項獨立研究，評估了各種網路安全防禦措施對網路保險理賠金額的財務影響，以及資安產品與服務的投資報酬率 (ROI)。研究結果顯示，在美國，使用託管式偵測與回應 (MDR) 服務的企業，其網路保險理賠金額比僅依賴端點防護的企業低 97.5%。 

研究重點發現：   

MDR 服務顯著降低了理賠金額https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11712：使用 MDR 服務的企業，其理賠金額比僅依賴端點防護的企業少 97.5% ( 7.5 萬美元 vs. 300 萬美元)。   
 
EDR/XDR 解決方案亦可減少理賠金額：使用 EDR/XDR 的企業，其理賠金額僅為單純使用端點防護企業的六分之一 (50 萬美元 vs. 300 萬美元)。
 
使用 MDR 服務的企業理賠金額最具可預測性，而使用 EDR/XDR 工具的企業理賠金額則波動較大。 
 
MDR 服務可加速網路攻擊事件後的復原：近一半 (47%) 使用 MDR 服務的企業可在一週內完全復原，而僅依賴端點防護的企業僅有 18% 能在一週內復原，使用 EDR/XDR 解決方案的企業則為 27%。 
  
MDR 服務的勒索軟體事件復原時間最為可預測，而使用 EDR/XDR 工具的企業復原時間變異較大。

隨著網路威脅不斷增加、保險費用持續上升，這份研究量化了資安投資的實際財務影響，為企業與保險公司提供有數據支援的見解，以最佳化網路防禦策略。研究結果顯示，MDR 服務是降低理賠成本、減輕風險並加速復原的最有效方法。

        本文擷取自資安人

微軟的 Active Directory（簡稱 AD）推出至今已 25 年，仍然是許多企業環境中的核心身分管理系統。正因為它在企業網路中扮演如此關鍵的角色，持續成為駭客優先鎖定的目標。

AD 之所以始終是駭客的首要目標，在於它在身分識別和存取管理上的核心地位。一旦 AD 遭到入侵，攻擊者就等於掌握了整個IT環境的鑰匙，因為AD控制著組織內所有網路資源的存取權限。

多年來，駭客持續改進攻擊手法，利用系統配置錯誤、資安漏洞、權限提升路徑、驗證協定弱點以及其他問題來入侵 AD 環境。混合式身分架構的興起，加上 Microsoft 雲端版 Entra ID 的廣泛採用，更使這些挑戰雪上加霜，讓許多組織在同時維護傳統和現代身分系統時遭遇困境。

目前難以取得 Active Directory 的確切安裝使用量統計，但根據海外市調公司五年前的評估報告，全球前 1000 大企業中約 90% 使用 AD 作為主要的身分驗證與存取控制機制。多數產業觀察家認為，這個比例至今仍維持不變。
各種攻擊手法層出不窮
多年來，資安人員發展出一套專業術語來描述針對 AD 的各種攻擊手法。其中最常見的包括 Kerberoasting、Pass-the-hash、Golden/Silver Ticket 攻擊、DCShadow 以及 DCSync 等。


Kerberoasting 是一種後滲透攻擊手法，駭客會從記憶體中竊取雜湊密碼。
Pass-the-hash 攻擊是駭客竊取雜湊密碼後，利用這些雜湊值來冒充合法使用者進行身分驗證。
在 Golden Ticket 攻擊中，駭客會利用 Kerberos 協定的弱點來取得目標網域的完整控制權。
Silver Ticket 攻擊則是駭客利用竊取的憑證偽造服務票證，藉此存取特定服務。
在 DCShadow 攻擊中，駭客會透過惡意網域控制站向 AD 注入未經授權的資料；而在 DCSync 攻擊中，攻擊者會偽裝成合法的網域控制站來直接竊取密碼雜湊值。

這些攻擊手法至今仍對 AD 環境構成重大威脅。資安研究員指出，現代 AD 攻擊主要著重於憑證竊取、橫向移動和權限提升。此外，針對 Active Directory 憑證服務（AD CS）的攻擊會利用自動註冊和憑證簽發的錯誤設定，使攻擊者得以偽造憑證並提升權限。

攻擊手法不斷演進
專家指出，過去 25 年來，駭客攻擊 AD 的動機基本維持不變，但隨著自動化工具普及，其攻擊手法已顯著演進。

雖然傳統攻擊手法仍然有效，但現今駭客運用自動化工具、AI 驅動的偵查技術，以及寄生攻擊（Living-off-the-land）等策略來躲避偵測。攻擊者更傾向利用雲端攻擊媒介，例如濫用 OAuth 權杖持久性和入侵 Entra ID 帳號，藉此滲透內部部署的 AD 環境。

相關文章：就怕不知不覺！企業組織如何防禦「寄生攻擊」

特別令人擔憂的是這些行之有效的傳統攻擊手法。例如，俄羅斯駭客組織 Midnight Blizzard 就是透過密碼噴灑攻擊（Password Spraying）在去年成功入侵微軟環境。此外，憑證填充和暴力破解等基礎攻擊手法依然普遍。

這些技術之所以持續奏效，主要是因為它們會產生大量雜訊，使偵測變得困難。數據顯示，31%的初始攻擊源自暴力破解，而近三分之一的帳號遭入侵案例來自密碼噴灑攻擊。

混合式攻擊則成為新興威脅，駭客利用 Azure AD Connect 等工具攻擊內部部署 AD 和雲端環境之間的連結。此外，攻擊者越來越傾向採用慢速無檔案攻擊技術，並經常利用遭入侵的 AD CS 設定來簽發惡意憑證。

低估資安風險
資安專家指出，組織在應對 AD 威脅時最大的錯誤，是誤認 AD 的預設設定已足夠安全。實際上，AD 及相關系統的主要資安漏洞來自密碼強度不足及易於破解的設定。此外，缺乏多層安全防護機制（如多因素驗證 MFA）更使問題雪上加霜。

雖然 AD 維持其基礎架構以支援現代環境運作，但其基礎安全協定卻未有顯著進步。過時且脆弱的安全設定仍然存在，使系統容易遭受現代攻擊手法的侵害。

專家進一步指出企業資安團隊的另一項重大疏失：缺乏完善的 AD 復原策略。由於許多組織未建立並測試資安韌性復原計畫，因此特別容易受到勒索軟體或資料抹除攻擊的威脅，最終導致業務癱瘓。根據 Sophos 2023 年的分析，駭客從初始入侵到取得組織 AD 環境存取權限，中位數時間僅需 16 小時。

駭客也逐漸將 AD 備份視為攻擊目標。他們深知一旦加密或破壞備份，組織將不得不支付贖金來恢復營運。若組織缺乏不可竄改的離線備份，且未實際測試過復原流程，便可能遭遇長期停機，並面臨更大的勒索威脅。

雲端與混合環境的挑戰
近年來雲端服務普及，促使許多組織同時維護內部部署 AD 和雲端 Microsoft Entra ID 環境。這些組織通常將內部部署 AD 的身分資料同步至 Entra ID，讓使用者能以相同的帳號密碼存取兩個環境。然而，這種混合式環境為駭客創造了新的攻擊面，而許多組織對此毫無防範。

主要問題在於資訊部門為求加快雲端移轉進度，在同步帳號密碼時往往忽視了密碼強度和複雜度等重要資安要求。AD 的預設密碼設定，包括長度、複雜度要求和到期規則，雖然在當初設計時可能合理，但到了 2025 年已遠低於基本資安標準。

企業必須與時俱進，更新密碼政策以符合現代資安實務，即採用更長且更複雜的密碼，並導入多重要素驗證等額外防護機制。若仍在使用內部部署 AD 的預設密碼控制，這些弱點將透過網路直接暴露給攻擊者。

AD CS成為新興攻擊目標
反向攻擊同樣危險。攻擊者一旦入侵內部部署的 AD 環境，就能透過同步機制或竊取 OAuth 權杖來滲透雲端服務。由於安全模型各異且日誌記錄分散，使統一監控和控管變得更加困難。設定錯誤的同步工具更可能導致漏洞在不同環境間擴散。在混合環境中管理憑證，特別是在 AD CS 方面，更為安全維護帶來諸多挑戰。

AD CS（Active Directory 憑證服務）讓組織能夠發行、管理和驗證 PKI 憑證，以進行安全認證、加密和身分管理。2021 年，SpecterOps 的研究人員發表了「Certified Pre-Owned」報告，詳細揭露了多種針對 AD CS 的潛在攻擊手法，並提出防護建議。然而，這些問題至今仍未解決。去年，帳號管理業者 BeyondTrust 分析了兩種最初由 SpecterOps 發現的攻擊手法，這些手法自 2021 年以來已更加普及。

其中一種是 ESC1 攻擊，被描述為濫用設定錯誤的憑證範本，允許未經授權的憑證請求，讓攻擊者得以取得更高權限。這類攻擊使駭客能在遭入侵的網路中進行橫向移動，並建立持久性後門。另一種是 ESC4 攻擊，此攻擊會利用金鑰託管設定的漏洞，使攻擊者能取得儲存在 CA 資料庫中的私鑰，進而解密受保護的資料。

最近針對 AD CS 的攻擊主要集中在濫用設定錯誤和過於寬鬆的憑證範本與自動註冊設定。這些攻擊已從粗糙的入侵手法，演變為針對性地濫用憑證政策和設定弱點。

NTLM 中繼攻擊如 PetitPotam，就是透過濫用 AD CS 中的加密檔案系統遠端協定（MS-EFSRPC）來進行攻擊，使情況更加複雜。這類攻擊會「透過 MS-EFSRPC 協定強迫易受攻擊的伺服器向攻擊者控制的端點進行驗證，進而暴露可用來入侵 AD CS 元件的 NTLM 憑證」。

專家建議，組織可以透過停用過時的通訊協定、為特權帳號強制實施 MFA，以及採用安全的委派機制來降低 AD 相關威脅的風險。此外，實施持續性的 AD 安全監控和異常偵測也有助於即時緩解威脅。

對於高度仰賴傳統 AD 的組織而言，身分管理現代化不一定要全面替換系統。相反地，他們應該著重於逐步整合現代身分解決方案，例如條件式存取、即時特權和雲端身分治理等方式來降低技術債。透過採取循序漸進、以安全為優先的方法，組織可以延長其 AD 基礎架構的使用壽命，同時提升對現代威脅的整體防禦能力。

本文轉載自 DarkReading。