资安厂商 Sophos 发布《2026 年主动攻击者报告》，揭示了当前数位环境中日益严峻的威胁态势。报告指出，过去一年的资安事故出现了显着的转型：身分攻击已正式主导威胁版图，高达 67% 的事件可归因於身分相关弱点。这显示攻击者已不再单纯依赖复杂的新技术，而是透过遭窃凭证、暴力破解或钓鱼手法，直接推开企业的大门。

报告显示，攻击者的行动节奏正显着加快，一旦成功入侵组织内部，平均仅需 3.4 小时就能掌控核心的 Active Directory（AD）伺服器。此外，受害者环境中的中位停留时间已缩短至三天，这不仅反映了骇客追求效率，也显示防御方在托管式侦测与回应（MDR）的协助下正加速反击。值得关注的是，「下班时间」已成为攻击爆发的高风险时段，高达 88% 的勒索软体是在非营业时间部署，显见骇客刻意选择防御人力最薄弱的时刻发难。

在威胁组织方面，市场呈现出「遍地开花」且「去中心化」的特徵，活跃组织数量创下历史新高。虽然执法部门的打击有效削弱了过往龙头如 LockBit 的主导地位，但却引发更多新兴团体的竞逐，其中以 Akira（22%）与 Qilin 最为活跃。针对近年热议的 AI 威胁，Sophos 现场 CISO John Shier 指出，目前 AI 虽提升了钓鱼邮件的精致度，但尚未产生根本性的攻击技术变革，威胁的核心依然回归到身分防护、漏洞修补与日志保留等「基本功」。

然而，许多企业在防守上仍存在致命伤。报告指出，近六成案例缺乏多因素验证（MFA），且因防火墙等设备预设日志保留期过短，导致遥测资料不足，严重阻碍了事件调查。对此，Sophos 强烈建议企业应优先部署具抗钓鱼能力的 MFA，并强化 24 小时监控与日志保存机制。在身分相关弱点成为攻击首选的今日，唯有采取更主动的防御策略，才能在瞬息万变的资安战场中化被动为主动。