每年,數千個組織都會經歷網路事件。事件可能始於SOC警報、零日漏洞、勒索要求或廣泛的業務中斷。當電話響起時,我們的全球事件回應人員會迅速動員起來,調查、遏制並消除威脅。
2026(今)年的Unit 42 2026全球事件回應報告分析了50多個國家、各主要行業的750多起重大網路事件,以揭開新興模式和防禦者的經驗教訓。
數據顯示攻擊展開方式發生了明顯轉變。威脅行為者行動更快,越來越多地利用身份和受信任的連接,並將攻擊擴展到多個攻擊面。這些入侵加速的速度、規模和複雜性意味著從初始訪問到業務影響之間的時間窗口正在縮小。然而,大多數的入侵之所以成功,仍然是由於可預防的可視性及安全控制方面的差距所致。
隨著對手調整其攻擊策略,報告強調了塑造2026年威脅格局的幾個決定性趨勢:
- AI正在壓縮攻擊時間線:在我們調查的最快案例中,攻擊者僅需72分鐘即可從初始訪問轉移到數據外洩,比去年快4倍。我們看到AI被用於偵察、網路釣魚、腳本編寫和操作執行,進而實現如同機器運作般的快速、大規模的攻擊。
- 身份憑證現已成為主要攻擊媒介:身份弱點在我們近90%的調查中發揮了實質性作用。通常情況下,攻擊者並不是闖入;他們是使用被盜的憑證和權杖登錄,然後利用分散的身份資產來提升權限並橫向移動,而不會觸發傳統防禦。
- 供應鏈風險現已導致營運中斷:在23%的事件中,攻擊者利用了第三方SaaS應用程式。透過濫用受信任的整合、供應商工具和應用程式依賴項,他們繞過了傳統邊界,並將影響擴展到單一系統之外。
- 攻擊複雜性正在增加:我們發現87%的入侵涉及多個攻擊面的活動。攻擊很少只停留在一個環境中。相反,我們看到端點、網路、雲端、SaaS和身份之間協調的活動,迫使防禦者必須同時監控所有這些面向。
- 瀏覽器是主要戰場:近48%的事件涉及基於瀏覽器的活動。這反映了現代攻擊如何經常與日常工作流程(例如電子郵件、網路訪問和日常SaaS使用)交叉,將正常用戶行為轉變為攻擊向量。
- 勒索正在超越加密:基於加密的勒索比去年下降了15%,因為更多的攻擊者跳過加密,直接轉向數據竊取和破壞。從攻擊者的角度來看,這更快、更安靜,並產生即時壓力,而無需防禦者曾經依賴的信號來檢測勒索軟體攻擊。