資安廠商 Sophos 發布《2026 年主動攻擊者報告》，揭示了當前數位環境中日益嚴峻的威脅態勢。報告指出，過去一年的資安事故出現了顯著的轉型：身分攻擊已正式主導威脅版圖，高達 67% 的事件可歸因於身分相關弱點。這顯示攻擊者已不再單純依賴複雜的新技術，而是透過遭竊憑證、暴力破解或釣魚手法，直接推開企業的大門。

報告顯示，攻擊者的行動節奏正顯著加快，一旦成功入侵組織內部，平均僅需 3.4 小時就能掌控核心的 Active Directory（AD）伺服器。此外，受害者環境中的中位停留時間已縮短至三天，這不僅反映了駭客追求效率，也顯示防禦方在託管式偵測與回應（MDR）的協助下正加速反擊。值得關注的是，「下班時間」已成為攻擊爆發的高風險時段，高達 88% 的勒索軟體是在非營業時間部署，顯見駭客刻意選擇防禦人力最薄弱的時刻發難。

在威脅組織方面，市場呈現出「遍地開花」且「去中心化」的特徵，活躍組織數量創下歷史新高。雖然執法部門的打擊有效削弱了過往龍頭如 LockBit 的主導地位，但卻引發更多新興團體的競逐，其中以 Akira（22%）與 Qilin 最為活躍。針對近年熱議的 AI 威脅，Sophos 現場 CISO John Shier 指出，目前 AI 雖提升了釣魚郵件的精緻度，但尚未產生根本性的攻擊技術變革，威脅的核心依然回歸到身分防護、漏洞修補與日誌保留等「基本功」。

然而，許多企業在防守上仍存在致命傷。報告指出，近六成案例缺乏多因素驗證（MFA），且因防火牆等設備預設日誌保留期過短，導致遙測資料不足，嚴重阻礙了事件調查。對此，Sophos 強烈建議企業應優先部署具抗釣魚能力的 MFA，並強化 24 小時監控與日誌保存機制。在身分相關弱點成為攻擊首選的今日，唯有採取更主動的防禦策略，才能在瞬息萬變的資安戰場中化被動為主動。