雲端資安公司 CrowdStrike 發布《2025 全球威脅報告》,深入分析當前網路威脅的趨勢,指出駭客現在變得像精明的企業,運作模式具備商業思維。報告內容提供給資安專業人員關於預測和主動防禦所需的知識,以持續保護企業的身份和雲端基礎設施等。
📌 《2025 年全球威脅報告》適合誰閱讀?
這份報告是為資安專業人員和專職網路防禦者而製作,對於負責以下關鍵安全功能和策略的團隊尤為重要:
- 核心安全與防禦職務,包括:資安專業人員、安全團隊、事件回應團隊(Incident Response)等
- 策略與管理層級職務,包括:資訊長/資訊安全長、高階主管利害關係人、風險管理與法規遵循人員等
- 專業技術防禦職務,包括:雲端安全專業人員、漏洞管理團隊、身份和存取管理專家等
1. 駭客入侵後,在企業網路內「橫向移動(lateral movement)」的平均時間縮短到 48 分鐘,寫下歷史新低——相較於 2023 年的 62 分鐘,時間縮短了 14 分鐘。
2. 更極端的案例顯示,駭客最快只用 51 秒就能突破內網,這等於留給防禦者不到一分鐘來啟動阻擋或偵測。
3. 使用大型語言模型(LLM)生成的釣魚郵件,平均能騙過 54% 的收件人,比傳統、由人撰寫的 12% 高出 4 倍以上。
4. 2024 年觀察到的偵測事件中,79% 屬於無惡意軟體(malware-free)活動,相較於 2019 年的 40% 有顯著上升。
5. 相較於 2023 年,新的和未歸因的雲端入侵事件增加了 26%。
🔴 報告洞見
現代的威脅行為者不再只是單純的破壞者,他們已經進入「企業化」,轉型為高度組織化、追求效率和利潤最大化的實體,其運營模式和戰術決策,越來越像他們所攻擊的企業或商業組織。以下介紹報告指出的六個攻擊主題。
💡 社交工程業務崛起:vishing 暴增 442%
語音網路釣魚(vishing)攻擊大幅增加,在 2024 年上半年到下半年之間暴增了 442%。多數的電話釣魚攻擊中,駭客會假裝成 IT 支援人員,說是要幫你解決網路連線或安全問題。他們甚至會先丟一堆垃圾郵件給你,讓後續那通聲稱幫你解決安全問題的電話,聽起來更可信。
除了直接打電話給你,駭客也越來越常使用服務台社交工程。他們會打給公司的 IT 服務台,假冒成同事,說服服務台幫他們重設密碼或多因素驗證(MFA)——駭客之所以能得逞,是因為他們可以從公開網站或社群媒體上,輕鬆找到工作者的姓名、生日、主管是誰等驗證資訊。而且,他們通常會選在大家下班後打電話,這樣就能在真正的帳號擁有者發現被盜前,有更多時間來存取帳戶資訊。
社交工程之所以有效,是因為它針對的是人類的弱點或錯誤,而不是軟體或作業系統中的缺陷。一旦社交工程成功讓駭客拿到「初始存取權」,接下來的惡意操作往往會被延遲偵測,讓他們取得主動優勢。
💡 生成式 AI 成為駭客的力量倍增器
商用大型語言模型的易用性,提高駭客的生產力、縮短他們的學習曲線,並允許他們增加活動的規模和速度。儘管 GenAI 的惡意使用目前大多仍處於迭代階段,但它已在 2024 年的複雜網路攻擊活動中扮演了關鍵角色。
GenAI 可以在極少專業知識的情況下,生成逼真的圖像和極具說服力的內容,大大提高了詐騙的成功率。舉例來說,與北韓相關的駭客組織會用 GenAI 建立虛假的 LinkedIn 履歷和頭像,成功滲透目標公司。
更具破壞性的是,深偽技術被用來進行商業郵件詐騙(BEC),有駭客利用高層的影片片段建立深偽影片,成功誘騙受害者轉帳 2,560 萬美元。
此外,國家級對手也利用 GenAI 干擾選舉。中國、俄羅斯和伊朗相關的駭客組織,利用 AI 驅動的假訊息來擾亂選舉,例如放大政治分歧議題。即使在惡意網路行動(CNO)中,駭客也用 GenAI 來輔助編寫惡意軟體,讓攻擊變得更難追蹤。
💡中國駭客活動爆增 150%,轉向高階間諜模式
報告指出,中國相關的網路間諜和情報收集能力在 2024 年達到了「新的成熟水平」,其行動能力和規模相較於往年有顯著提升。這股日益成熟且高效的「中國網路企業(Cyber Enterprise)」,是中國政府數十年來對其網路人才和計畫持續投入的結果。
報告揭示,中國相關的入侵活動呈現爆發性增長。與 2023 年相比,在金融服務、媒體、製造業,以及工業與工程部門等關鍵目標行業中,其觀察到的入侵次數甚至經歷了 200% 到 300% 的驚人增長。即使是傳統重點目標(政府、科技和電信),活動也增加了 50%。
這些網路行動的根本動機,在於支持中共的國家戰略目標,包括追求地區影響力(特別是台灣問題),以及履行《第十四個五年規劃》等國家策略中概述的情報收集要求。同時,他們也針對異議團體等社會與政治運動團體進行情報收集,顯示中國的網路活動已是服務於國家意志、高度組織化的「企業行為」。
💡 駭客轉攻雲端,身份盜用成主要入侵點
越來越多駭客正積極利用雲端服務中的漏洞與錯誤配置,利用身份系統與雲端管理工具創新其攻擊手法。
其中,「濫用有效帳戶」已成為雲端環境中主要的初始存取媒介,在 2024 年上半年佔雲端事件的 35%。而且駭客開始採用隱蔽策略,通常不會更改被盜用的憑證,以避免通知使用者,從而降低被偵測的風險並確保更可靠地存取雲端環境。
駭客在雲端環境中的創新攻擊還包括:
- 「劫持 AI 模型」賺黑錢(LLMJacking):這是一種新興的雲端威脅,駭客利用竊取的雲端憑證來存取 AI 服務,他們利用這些被盜的權限來準備 LLMJacking 活動,例如清單列出雲端 AI 服務中可用的基礎機器學習模型等。這些駭客的目的,是將 ML 模型的存取權,轉售給其他尋求用於惡意目的駭客等惡意行為者。
- 濫用雲端管理員工具:駭客一旦成功潛入你的雲端,就會像 IT 管理員一樣,利用雲端系統自己的管理工具來四處移動和發動攻擊。他們會濫用這些「合法」的命令列工具,執行惡意操作,讓攻擊看起來像正常的系統行為。
- 躲避偵測,長期潛伏:駭客會不斷想辦法規避你的安全系統。他們會移除自己留下的痕跡(例如妨礙你透過電子郵件偵測到他們),或者在被盜用的身份上,偷偷設定備用的多因素驗證(MFA)方式,確保他們隨時都能再次登入,長期潛伏在你的系統中。
💡 駭客進擊專攻:「網路邊緣」的漏洞鏈與隱藏功能
駭客持續鎖定網路邊緣設備(例如網路應用設備),這些設備通常有兩大弱點:一是它們缺乏傳統的安全偵測工具的可視性;二是它們經常被暴露於網際網路。駭客的最終目標是:能直接允許未經身份驗證的遠端程式碼執行的漏洞。
威脅行為者會持續利用公開可用的漏洞研究,甚至在漏洞被公開披露和修補程式發布之後才發起攻擊。這突顯了駭客傾向於,鎖定先前已建立的攻擊途徑和相似組件,以實現持續的漏洞利用。
報告強調,防禦者需要利用 AI 驅動的工具,優先處理那些對駭客最具吸引力的漏洞,並實施縱深防禦(多層次的防禦策略),以應對這些複雜的多階段攻擊。
💡 新威脅:駭客專攻 SaaS 應用
報告預測,針對 SaaS 應用程式(例如 Microsoft 365、Salesforce、Zoom 等)的攻擊,仍是企業必須高度警惕的威脅。隨著企業將大量敏感資料搬到雲端,駭客正調整策略,專門鎖定這些服務。
駭客存取 SaaS 應用程式的主要途徑是破壞單一登入(SSO)身份。一旦成功取得 SSO 帳號,駭客就會立刻測試所有相關應用程式,特別是那些用於聊天、文件管理和憑證管理的工具。
而駭客對 SaaS 應用程式的利用,目的非常商業化,包括搜集機密文件、搜尋網路保險和營收資訊制定勒索金額,以及發動下游攻擊——利用對 SaaS 工具的存取權,對第三方發動下游攻擊,例如發送超過 70 萬封簡訊(SMS messages),將惡意連結導向釣魚頁面。
由於惡意存取 SaaS 應用程式通常始於身份洩露,報告建議防禦者必須加強帳戶防禦。
整體防禦建議包括:保護整個身份生態系統、消除跨領域可視性差距、將雲端視為核心基礎設施進行防禦、優先處理那些對駭客最具吸引力,而非單純嚴重性最高的漏洞,以及了解對手並做好準備,提高應對速度和準備狀態,因為網路攻擊往往在幾分鐘甚至幾秒內展開。
*閱讀完整報告內容,請見:《CrowdStrike 2025年 全球威脅報告》
【閱讀更多產業研究報告】
◆ 每天收 121 封信要怎麼工作?AI 助你成為「高產但不累」的專業人士
◆ 下一代銀行:AI 是引擎、風控是煞車,銀行家都要成為 AI 風險管理者
◆ 《人工智慧指數報告》:人才焦慮未退場,市場對 Prompt、RAG、多模態技能需求暴增
◆ 打造「行銷有機體」!IBM 剖析 CMO 用 AI 贏得成功的 5 個成長舉措➡️ 其他產業研究報告
*初稿由 AI 協作,首圖來源:Unsplash
