在勒索軟體與進階持續性威脅（APT）持續演進之際，Sophos最新發布的《2026年Sophos主動攻擊者報告》指出，全球企業正面臨以「身分為核心」的攻擊浪潮。根據Sophos事件回應（IR）與託管式偵測與回應（MDR）團隊調查的661起案例中，其中高達67%的事件源自身分相關入侵，顯示攻擊者策略已由過往偏重漏洞利用，轉向濫用有效帳號與憑證。

《2026年Sophos主動攻擊者報告》指出，全球企業正面臨以「身分為核心」的攻擊浪潮。

報告分析，初始入侵手法出現明顯轉變。暴力破解（15.6%）與漏洞利用（16%）比例幾乎並列，但攻擊者更傾向利用遭竊憑證進入系統，藉此繞過邊界防禦機制。尤其在59%的案例中，企業未部署或未正確設定多因素驗證，使得被竊帳密得以直接橫向移動並深入內網。

在入侵節奏方面，攻擊者行動速度顯著加快。報告指出，攻擊者在受害環境中的中位停留時間縮短至三天，而一旦取得初始存取權，平均僅需3.4小時即可觸及Active Directory（AD）伺服器，掌握關鍵身分與權限架構。這種「快速滲透」模式對企業偵測與回應能力構成高度壓力。

勒索軟體仍集中於非營業時段部署。統計顯示，88%的勒索軟體裝載與79%的資料外洩行為發生在離峰時間，凸顯攻擊者刻意避開人工監控時段的策略。值得關注的是，本期報告觀察到51個勒索軟體品牌，其中Akira（GOLD SAHARA）佔全部事件22%，居於主導地位；Qilin（GOLD FEATHER）亦為高度活躍品牌。整體威脅組織數量創歷史新高，攻擊歸因難度進一步提高。

報告同時揭示遙測資料不足的隱憂。因日誌保留政策不當導致資料缺失的情況較去年倍增，尤其部分防火牆設備預設僅保留7天、甚至24小時紀錄，削弱事件調查與威脅溯源能力。

針對外界關注的AI影響，Sophos指出，目前尚未觀察到由生成式AI驅動的攻擊技術革命。AI主要提升釣魚與社交工程的規模與精緻度，而非帶來全新戰術。Sophos現場CISO John Shier強調，未來生成式AI可能成為新的加速器，目前企業仍須回歸基本功，包括強化身分防護、確保完整遙測資料，以及確保24小時全年無休監控的能力。Sophos建議企業優先部署具抗釣魚能力的MFA、降低對外曝險面、即時修補邊界漏洞、導入MDR監控機制，並完善日誌保存策略，以因應快速擴張且以身分為核心的新世代威脅版圖。

《2026 年 Sophos 主動攻擊者報告》分析 661 起事件回應與託管式偵測與回應案例，涵蓋2024年11月1日至2025年10月31日期間，橫跨70個國家與34個產業的案例。