Sophos 報告：在 56% 的事件回應和託管式偵測與回應案件中，攻擊者是「登入」而非「入侵」系統

Sophos 是全球創新資安解決方案的領導者，致力於對抗網路攻擊。今日，Sophos 發布《2025 Sophos 主動攻擊者報告》，揭露攻擊者在 2024 年超過 400 起託管式偵測與回應 (MDR) 及事件回應 (IR) 案例中的行為模式與技術手法。報告顯示，攻擊者取得網路初始存取權的主要方式 (占所有 MDR 與 IR 案件的 56%) 是利用有效帳號來攻擊外部遠端服務，其中包括邊緣設備，如防火牆與 VPN。

攻擊者用合法帳號從遠端登入系統，這種方式正好就是大多數攻擊發生的主要原因之一。連續第二年，「帳號憑證遭入侵」是最主要的攻擊根本原因 (占 41%)，其次為「已遭利用的漏洞」(21.79%) 以及「暴力破解攻擊」(21.07%)。

瞭解攻擊速度

在分析 MDR 與 IR 調查時，Sophos X-Ops 團隊特別針對勒索軟體、資料外洩與資料勒索等案例，評估攻擊者在組織內部攻擊各階段的推進速度。在這三種類型的案件中，從攻擊開始到資料外洩的中位時間僅為 72.98 小時 (約 3.04 天)。此外，從資料外洩到攻擊被偵測的中位時間僅為 2.7 小時。 

Sophos 外勤首席資安長 John Shier 表示：「被動式防護已無法滿足現今的需求。雖然預防依然重要，但快速回應才是關鍵。企業必須主動監控網路環境，並針對觀察到的遙測數據迅速採取行動。面對具備動機強烈的攻擊者所發動的協同攻擊，企業也需要採取協同防禦。對許多組織而言，這代表必須結合自身的業務知識與專家主導的偵測與回應能力。我們的報告證實，具備主動監控機制的組織能更快偵測攻擊，並獲得更佳的防禦成果。」

《2025 Sophos 主動攻擊者報告》其他重點發現：

• 攻擊者最快 11 小時內即可掌控系統：攻擊者從發動初始行動到首次 (且經常成功) 嘗試入侵 Active Directory (AD) 之間的中位時間僅為 11 小時。AD 可說是任何 Windows 網路中最重要的資產之一，一旦遭入侵，攻擊者將更容易全面控制組織。

• Sophos 案例中最常見的勒索軟體集團：2024 年最常見的勒索軟體集團為 Akira，其次是 Fog 和 LockBit (即使年初已有多國政府聯手打擊 LockBit，該集團仍然活躍)。

• 平均潛伏時間降至僅 2 天：整體潛伏時間 (從攻擊開始到被偵測的時間) 自 4 天降至 2 天，主要歸功於納入了 MDR 案件資料，對結果產生了重要影響。

• IR 案件中的潛伏時間：在 IR 案件中，勒索軟體攻擊的潛伏時間維持在 4 天，而非勒索軟體攻擊的潛伏時間則為 11.5 天。

• MDR 案件中的潛伏時間：在 MDR 調查中，勒索軟體攻擊的潛伏時間僅為 3 天，非勒索軟體攻擊則縮短至僅 1 天，顯示 MDR 團隊能更快速偵測與回應攻擊。

• 勒索軟體集團偏好深夜行動：2024 年有 83% 的勒索軟體執行檔是在目標企業的非上班時間部署。

• 遠端桌面通訊協定 (RDP) 持續成為濫用重災區：RDP 涉及 84% 的 MDR／IR 案件，是遭濫用最頻繁的 Microsoft 工具。

為強化防禦，Sophos 建議企業採取以下措施：

• 關閉暴露的 RDP 連接埠

• 儘可能使用可防網路釣魚的多重要素驗證 (MFA)

• 及時修補存在漏洞的系統，特別是面向網際網路的裝置與服務

• 部署 EDR 或 MDR，並確保進行 24 小時不間斷的主動式監控

• 建立完整的事件回應計畫，並定期透過模擬演練或情境推演來驗證其效用

完整報告請參閱 Sophos.com 上的《需要雙重防線：2025 Sophos 主動攻擊者報告》。

進一步了解

• 各種 MFA 方法的優缺點

• RDP 遭濫用情形日益嚴重的趨勢

• 攻擊者在歷年《主動攻擊者報告》中採用的技術、戰術與程序 (TTP)

• 訂閱 Sophos X-Ops 部落格，掌握其領先業界的威脅研究成果

關於 Sophos

Sophos 是全球領先且具創新力的網路安全解決方案供應商，致力於對抗各類網路攻擊。2025 年 2 月，Sophos 併購 Secureworks，結合兩家網路安全產業的先驅企業，透過原生 AI 最佳化的服務、技術與產品，重新定義了現代資安防護的標準。Sophos 現已成為全球最大的純粹託管式偵測與回應 (MDR) 服務供應商，支援超過 28,000 家企業組織。除了 MDR 與其他託管服務，Sophos 全方位的產品組合還涵蓋業界領先的端點、防火牆、電子郵件與雲端防護，這些解決方案皆可透過 Sophos Central 平台互通並調適運作，以提供防禦策略。Secureworks 則提供創新且市場領先的 Taegis XDR/MDR、身分威脅偵測與回應 (ITDR)、次世代 SIEM 能力、風險託管與完整的顧問服務。Sophos 透過全球經銷夥伴、託管服務供應商 (MSP) 與託管式安全服務供應商 (MSSP) 銷售上述所有解決方案，協助全球超過 60 萬家組織防禦網路釣魚、勒索軟體、資料竊取，以及日常或國家級支援的各類網路犯罪行為。這些解決方案均由 Sophos X-Ops 與新加入的 Counter Threat Unit (CTU) 所提供的歷史與即時威脅情報所支援。Sophos 總部設於英國牛津，更多資訊請參閱 www.sophos.com。