最新一份《2025 Sophos 主動攻擊者報告》發現，高達 56% 黑客正以合法帳戶攻擊外部的遙距服務，如：防火牆及 VPN 等邊緣設備，因此屬目前最常見的入侵原因。此外，憑證被盜連續第 2 年成為頭號攻擊源頭（41%）；其次為未及時修補的系統安全漏洞 （21.79%），及經暴力破解法入侵（以密碼分析手段測試密碼組合）（21.07%）。 

Sophos X-Ops 團隊分析多個經託管式偵測及即時回應服務（MDR and IR）所發現的事 故，並特別針對因勒索軟件、數據外洩與勒索等案例，發現黑客平均只需約 3 日便成功令目標企業外洩資料，然而外洩的時間中位數僅為 2.7 小時，反映企業往往幾乎沒有反應時間。

Sophos 首席駐場威脅情報總監 John Shier 表示：「企業單靠被動防禦已不足以應付。雖然日常的預防策略依然重要，但如何快速於事故作出應變則為關鍵。面對現今的黑客，企業須更主動掌握網絡環境，並配合專業團隊迅速作出應變。若企業具備主動監控機制，則能更快偵測到攻擊源頭，有助減低事故所構成的損害。」

報告重點包括：

▪️黑客最快 11 小時內即可掌控系統：黑客初次發動攻擊至成功入侵 Active Directory，平均僅需 11 小時，即能控制整個 Windows 網絡。

▪️最活躍勒索軟件組織：2024 年以 Akira 最為頻繁，其次分別為 Fog 及 LockBit（儘管 LockBit 曾遭多國政府接連打擊）。 

▪️整體滯留時間降至 2 日：滯留時間較 2023 年需 4 日才能潛伏至系統大幅縮短，反映託管系偵測解決方案於加入事故資料後，其偵測速度大大提升。

▪️IR 案件滯留時間：勒索軟件攻擊的滯留時間維持 4 日，而非勒索類的網絡攻擊 則為 11.5 日，變化不大。

▪️MDR 案件滯留時間：在 MDR 的調查中，勒索軟件攻擊的滯留時間僅為 3 天， 非勒索類攻擊則縮短至 1 天，顯示託管式偵測團隊能更快速偵測與回應攻擊。

▪️勒索軟件集團集中於深夜發動攻擊：2024 年有 83% 勒索軟件在非辦公時間內部署至受害企業。

▪️遙距桌面通訊協定 （RDP）繼續重災區：涉及遙距桌面通訊協定的託管式偵測 及回應事故佔 84%，而 Microsoft 工具最常遭黑客濫用。

針對上述發現，Sophos 建議企業採取以下措施，以加強系統防禦策略：

▪️關閉洩露的 RDP 連接埠；

▪️啟用反網絡釣魚的多重身份驗證（MFA）；

▪️及時修補已知的安全漏洞，尤其能經外部存取的系統和裝置；

▪️部署具全天候監測性能的 EDR 或 MDR 解決方案；

▪️制定完備的事故應變計劃，並定期以模擬演習測試效能。