根據《2025微軟數位防禦報告》所揭示的全球威脅數據,攻擊者正以極高的速度與精準度,鎖定企業環境中長期存在、卻未被妥善治理的曝險條件,並將這些弱點視為可反覆利用的進入點。報告指出,超過八成的資安事件涉及資料蒐集行為,顯示「先取得存取權、再擴大利用」已成為主流攻擊策略。攻擊目標不再僅止於破壞系統或製造中斷,而是透過長時間潛伏、橫向移動與權限擴張,逐步累積可變現的攻擊成果。值得注意的是,事件分析指出,純粹以間諜為目的的攻擊僅占極少數,多數入侵最終皆指向勒索、勒索前資料外洩,或被用作後續攻擊的跳板,顯示網路攻擊已全面轉向以經濟利益為核心的運作模式。
這樣的威脅結構,與傳統以惡意程式特徵或單一告警為核心的防禦模型,形成根本性的落差。微軟數位防禦報告說明,近年攻擊者已大量轉向濫用合法帳號與服務身分(Identity),透過社交工程、密碼噴灑(Password Spray)、裝置驗證碼釣魚或應用程式授權濫用,直接「以合法使用者身分登入系統」。報告亦指出,雖然多因素驗證(MFA)仍能有效阻擋大量未授權登入行為,但攻擊者正快速轉向應用程式、工作負載與服務帳號等非人類身分。這類身分往往具備高度權限,卻缺乏對等的治理與可視性,一旦遭到濫用,其影響範圍將遠大於單一端點入侵。
趨勢科技於2026年資安趨勢預測中,則進一步點出AI技術對此類攻擊模式的放大效應。隨著攻擊者導入自動化漏洞搜尋、攻擊鏈組合與橫向移動工具,過去需要多人協作、長時間策劃的入侵行為,正被快速複製與規模化擴散。當企業同時導入多雲架構、第三方服務與各類AI工具,若內部仍存在錯誤設定、過度授權或治理斷層,這些條件便會在AI加速下,轉化為攻擊快速蔓延的通道。
在威脅態勢持續演變的情況下,資安市場對XDR的期待亦隨之轉變。近年XDR平台不再僅聚焦於整合EDR(端點)、NDR(網路)或郵件安全等資料來源,而是逐步引入AI引擎,強化跨域行為關聯、風險辨識與治理決策能力,試圖在攻擊鏈尚未完整成形之前,降低攻擊成功的機率。
攻擊行為轉化為合法操作
微軟資安技術專家張士龍指出,當前攻擊最大的轉變,在於「攻擊者不再強行突破防線,而是混入既有流程之中」。從實務觀察來看,許多成功入侵案例中,初始存取完成後,攻擊者往往能在極短時間內完成橫向移動與權限擴張。若SOC團隊僅依賴單一告警或事後調查,很容易錯失阻斷時機。
因此,XDR的價值不在於多看見幾個事件,而在於是否能將端點、身分、郵件、雲端應用與目錄服務的行為,放入同一個時間軸與信任脈絡中理解,進而還原完整的攻擊行為輪廓。在微軟的設計邏輯中,AI並非單一角色。基礎層的機器學習負責即時訊號過濾與異常判斷,降低雜訊;大語言模型(LLM)則協助SOC人員快速理解事件背景,縮短調查時間;而真正影響防禦節奏的,是建立在異質關聯分析之上的治理決策力。只有在高度確定攻擊鏈已具體成形時,系統才會自動觸發帳號停用、端點隔離或連線限制,避免過度自動化對正常營運造成干擾。這樣的分工,使XDR成為一個可被稽核、可被信任的治理工具,而非不可控的黑盒。
防禦重心前移至曝險治理
不同於從事件分析切入,趨勢科技台灣區技術總監劉家麟,則從管理視角重新定義「主動防禦」的意涵。他指出,若企業只在事件發生後投入資源,實際上已默許攻擊成功一次。真正關鍵的問題在於,攻擊發生之前,企業是否已系統性降低可被利用的條件。因此,趨勢科技在Vision One平台中,將XDR與資安曝險管理(CREM)並列為核心能力,持續盤點弱點、錯誤設定、過度授權帳號與暴露服務,並透過AI協助排序風險優先順序。
這種做法回應了調查報告所揭示的現實,也就是多數攻擊仍源於「已知但未被妥善治理的問題」。當AI能夠協助企業把注意力放在真正會被利用的曝險條件上,XDR才不會只是事後加速器,而是風險累積的減速器。
Sophos台灣銷售總監王還華則從營運衝擊的角度補充指出,許多企業並非缺乏防護工具,而是防護動作啟動得太晚。當勒索程式開始加密、帳號已被濫用時,即使反應迅速,仍難以避免停機與信任成本。因此,Sophos在XDR架構中,明確將預防置於整條防禦流程的最前端,透過漏洞風險排序、端點與郵件的前期攔截,以及身分威脅偵測與回應(ITDR),先行壓縮攻擊者的操作空間,再由XDR與MDR承接少數突破防線的複雜事件。
在AI應用上,Sophos同樣採取清楚的角色劃分。機器學習負責即時判斷,生成式AI協助分析與敘事,代理型AI則用於調查流程自動化,但所有決策仍需納入治理與稽核架構,確保自動化不會凌駕企業控制權。
當AI讓攻擊更快、更便宜、更隱蔽,企業若仍停留在事件回應思維,將難以承受長期風險。XDR正在成為連結曝險治理、跨域可視性與可控自動化的核心平台,其真正價值不在於工具本身,而在於是否能協助企業把資安納入日常營運決策之中,讓防禦節奏走在攻擊之前。