企業資安正在面臨前所未有的速度壓力。根據資安公司 CrowdStrike 最新發布的《2026 全球威脅報告》,駭客在 2025 年的平均攻破時間(breakout time)已縮短至 29 分鐘,比前一年加快 65%,最快紀錄甚至只花 27 秒,就成功從初始入侵點擴散至其他系統。這背後,已牽涉到攻防本質的轉變。
CrowdStrike 在報告中進一步歸納出 6 大威脅主題,點出攻擊者正全方位利用現代基礎設施中隱性信任機制的現況與 2026 動向。
1. 攻擊者全面導入 AI,推動「代理式」自動化攻擊
AI 已成為駭客的標準配備,2025 年,由 AI 輔助的攻擊事件較前一年暴增了 89%。各層級的攻擊者將 AI 廣泛應用於社交工程(如生成逼真的釣魚內容與深偽身分)、資訊戰以及惡意軟體開發中。同時,企業導入的 AI 基礎設施如 Langflow 等低程式碼平台,本身也成為駭客直接利用漏洞攻擊的新標的。
CrowdStrike 預測,2026 年技術較弱的攻擊者,將持續依賴 AI 彌補技術落差;而高階的國家級或犯罪組織,將極有可能開始部署代理式 AI,實現自主攻擊行動。而隨著 AI 逐漸進入企業營運核心,針對 AI 模型、訓練數據與 AI 代理人的攻擊,將成為防禦的嚴峻挑戰。
2. 勒索軟體戰術大轉向:主攻「跨領域」盲區
報告觀察,為了躲避端點偵測與回應(EDR)系統的監控,大型目標狩獵(BGH)勒索軟體組織正大幅改變戰術。他們不再強攻受到嚴密保護的伺服器,而是轉向企業的「盲區」,例如未受管制的 VPN、防火牆等邊緣設備,或是針對雲端 SaaS 應用程式進行資料外洩,甚至直接在 VMware ESXi 等虛擬化基礎設施上部署勒索軟體。
CrowdStrike 預測,勒索軟體仍將是企業 2026 面臨的頭號威脅,但攻擊者將進一步擴展跨領域(Cross-Domain)的規避手法,持續利用社交工程取得初始權限,並濫用雲端帳號及未受監控的系統進行遠端資料加密與勒索。
3. 中國關聯駭客鎖定「邊緣設備」,武器化速度破紀錄
中國關聯(China-nexus)的威脅者展現了對網路邊緣設備(如 VPN、防火牆、閘道器)的系統性偏好。更令人擔憂的是其快速武器化的能力:駭客經常在漏洞公開後的短短幾天內,就能將漏洞轉化為實際攻擊行動。
報告高度確信,邊緣設備在 2026 年仍將是中國關聯駭客的首選入侵途徑。他們將繼續利用企業修補漏洞的短暫空窗期發動攻擊。由於符合其戰略情報蒐集目標,電信、金融、物流與科技等關鍵基礎設施產業將持續處於高風險之中。
4. 軟體供應鏈淪為破口,自帶「自我繁殖」能力
攻擊者不再直接攻擊目標,而是透過竄改軟體供應商的基礎設施或公共程式碼庫(如 npm)來進行隱蔽入侵,例如,曾有駭客透過攻陷 Safe{Wallet} 的供應鏈,竊取了高達 14.6 億美元的加密貨幣;新型惡意軟體 ShaiHulud 甚至具備在開發者套件中「自我傳播」的能力,造成數百萬次的感染風險。
現代軟體生態系統經常將第三方套件整合到商業與開源軟體中以增加功能。攻擊者看準了開發者通常信任套件維護者會確保程式碼安全,因此利用這種信任,將惡意程式碼偷偷混入原本合法的開源專案與公共程式碼庫中。
CrowdStrike 預測,供應鏈攻擊將持續進化。未來的攻擊者會在感染初期主動刪除入侵證據以逃避偵測,並在程式碼中加入自我複製機制以擴大影響範圍。此外,針對 SaaS 應用程式(如竊取 OAuth 權杖來存取第三方整合服務)的供應鏈攻擊預期將顯著增加。
5. 攻擊目標決定「零日漏洞」的選擇策略
報告指出,2025 年在公開披露前就被利用的零日漏洞,數量年增高達 42%。報告發現,駭客的屬性決定了他們選擇利用哪種漏洞:國家級駭客偏好利用邊緣設備的零日漏洞來建立長期、隱蔽的潛伏;而以經濟為動機的 eCrime 組織(如 GRACEFUL SPIDER)則偏好能快速、大規模突破的企業級網路產品,或是能進行本機權限升級(LPE)的作業系統漏洞。
2026 年,CrowdStrike 預期高階國家級駭客將積極尋找能達成「防禦規避」的零日漏洞,以實現長期潛伏。同時,受到少數犯罪組織成功利用零日漏洞獲取暴利的激勵,將有更多資金充裕的勒索軟體組織投入零日漏洞的軍備競賽。
6. 顛覆雲端信任,AiTM 與混合身分成重災區
報告也指出,針對雲端的入侵行動在 2025 年大幅增加了 37%。攻擊者大量濫用微軟 Entra ID 以及混合身分架構中的信任關係。他們利用「中間人攻擊(AiTM)」釣魚套件,成功繞過多因素驗證(MFA),並透過精密的社交工程(如將用戶導向真實的登入頁面)來竊取憑證。此外,有效帳號濫用占雲端資安事件的 35%,凸顯攻擊者利用遭竊的帳號憑證與工作階段權杖,而非惡意軟體發動攻擊。
CrowdStrike 認為,越來越多的電子犯罪組織將開始鎖定「混合身分」解決方案進行攻擊。國家級威脅者也將擴大對雲端攻擊能力的投資。針對 SaaS 應用程式如 CRM 系統的針對性攻擊將持續升溫,駭客會更頻繁地利用非人類身分(如服務帳戶、API 金鑰與 OAuth 權杖)來竊取企業機密。
綜合來看,這些趨勢傳達出一個明確訊號:攻擊者的行動變得更快、更隱蔽,也更傾向利用現代基礎設施中隱含的信任機制發動攻擊,無論是 AI 工具、SaaS 平台、開源程式碼,還是邊緣設備,都成為可被利用的目標。
*本文開訪合作夥伴轉載,資料來源:CrowsStrike、《CSO》,首圖來源:
