在勒索软体与进阶持续性威胁（APT）持续演进之际，Sophos最新发布的《2026年Sophos主动攻击者报告》指出，全球企业正面临以「身分为核心」的攻击浪潮。根据Sophos事件回应（IR）与托管式侦测与回应（MDR）团队调查的661起案例中，其中高达67%的事件源自身分相关入侵，显示攻击者策略已由过往偏重漏洞利用，转向滥用有效帐号与凭证。

/news/2026/02/25/1050407210S.jpg

报告分析，初始入侵手法出现明显转变。暴力破解（15.6%）与漏洞利用（16%）比例几??并列，但攻击者更倾向利用遭窃凭证进入系统，藉此绕过边界防御机制。尤其在59%的案例中，企业未部署或未正确设定多因素验证，使得被窃帐密得以直接横向移动并深入内网。

在入侵节奏方面，攻击者行动速度显着加快。报告指出，攻击者在受害环境中的中位停留时间缩短至三天，而一旦取得初始存取权，平均仅需3.4小时即可触及Active Directory（AD）伺服器，掌握关键身分与权限架构。这种「快速渗透」模式对企业侦测与回应能力构成高度压力。

勒索软体仍集中於非营业时段部署。统计显示，88%的勒索软体装载与79%的资料外泄行为发生在离峰时间，凸显攻击者刻意避开人工监控时段的策略。值得关注的是，本期报告观察到51个勒索软体品牌，其中Akira（GOLD SAHARA）占全部事件22%，居於主导地位；Qilin（GOLD FEATHER）亦为高度活跃品牌。整体威胁组织数量创历史新高，攻击归因难度进一步提高。

报告同时揭示遥测资料不足的隐??。因日志保留政策不当导致资料缺失的情况较去年倍增，尤其部分防火墙设备预设仅保留7天、甚至24小时纪录，削弱事件调查与威胁溯源能力。

针对外界关注的AI影响，Sophos指出，目前尚未观察到由生成式AI驱动的攻击技术革命。AI主要提升钓鱼与社交工程的规模与精致度，而非带来全新战术。Sophos现场CISO John Shier强调，未来生成式AI可能成为新的加速器，目前企业仍须回归基本功，包括强化身分防护、确保完整遥测资料，以及确保24小时全年无休监控的能力。Sophos建议企业优先部署具抗钓鱼能力的MFA、降低对外曝险面、即时修补边界漏洞、导入MDR监控机制，并完善日志保存策略，以因应快速扩张且以身分为核心的新世代威胁版图。

《2026 年 Sophos 主动攻击者报告》分析 661 起事件回应与托管式侦测与回应案例，涵盖2024年11月1日至2025年10月31日期间，横跨70个国家与34个产业的案例。