Skip to content

2026 年 MSP 網路安全報告:多租戶威脅情勢與遙測分析

MSP 威脅情資現況:2026 年核心維運數據分析

針對中小型企業網路身分劫持、AI 惡意利用向量及 SaaS 基礎設施脆弱性的資料驅動審計

策略性威脅情資簡報: 現代網路安全地景已從以周界為核心的防禦模型,徹底轉向對「網路身分」的惡意利用。雖然軟體漏洞利用已攀升為首要的初始進入向量,但一旦攻擊者建立立足點,遭破解的使用者憑證在下游引發的外洩事件中仍佔了 13%。對於保護中小型企業(SMB)的託管服務供應商(MSP)而言,防禦雲端租戶必須跨越靜態門禁的思維,進而解決持續性的會期竊取(Session theft)、自動化憑證填補(Credential stuffing)以及 SaaS 對 SaaS 的特權提升問題。

 

Global Telemetry Mapping

本報告彙整了 30 項關鍵的產業指標,聚合了來自頂尖研究機構(IBM、Verizon、Gartner 及 FBI IC3)的多租戶情報,並結合了原生資料集的遙測數據。此遙測數據反映了橫跨 MSP 所管理的 Microsoft 365 與 Google Workspace 作用中企業租戶實例、歷時 180 天連續審計窗口內數十億次資安事件的分析結果。

 

Baseline Threat Metrics & Telemetry Data

資安追蹤矩陣統計結果首要資料來源
SMB 租戶憑證曝險率89% 的受監控租戶包含活躍的憑證外洩源Guardz 數據情資
每月活躍密碼噴灑(Password-Spray)來源 IP超過 14,000 個獨特的惡意基礎設施節點Guardz 數據情資
180 天會期劫持(Session Hijacking)爬算曲線會期代理伺服器(Session proxy)侵害事件增加 23%Guardz 數據情資
120 天已知惡意 IP 登入攀升率來自被標記節點的流量增加 50%Guardz 數據情資
Google Workspace OAuth 同意授權濫用飆升在 6 個月窗口內激增超過 2,000%Guardz 數據情資
經核實的惡意 Google Workspace 登入件數攔截到 125,983 起高風險身分驗證事件Guardz 數據情資
生成式 AI 滲透發生率佔已證實之企業資料外洩事件的 1/6IBM《資料外洩成本報告》
全球資料外洩平均復原成本每次資安事件達 444 萬美元IBM《資料外洩成本報告》
美國資料外洩平均復原成本每次資安事件達 1,022 萬美元IBM《資料外洩成本報告》
年度呈報之商業電子郵件詐騙(BEC)損失直接財務遭竊高達 27.7 億美元FBI IC3 網路犯罪報告
SMB 遭入侵事件中的勒索軟體盛行率88% 的小企業外洩事件涉及敲詐勒索Verizon DBIR 數據分析

 

1. AI 驅動型威脅與自動化權限提升

生成式 AI 工具消除了網路釣魚郵件中的拼字錯誤、區域性用詞破綻以及突兀的語法,使社交工程全面自動化。威脅份子現在正槓桿高度客製化、具備擴展力的 LLM 模型,來編排過去僅限於資源豐富的國家級間諜財團才能發動的極具說服力的誘餌。

  • AI 外洩放大器: 生成式 AI 模型已在約 16.6%(1/6)經證實的企業資料外洩事件中被惡意利用,主要用於產生逼真的深偽(Deepfake)身分以及全自動化的釣魚漏斗。
  • 財務尾端風險: 儘管全球的外洩成本基準線為每次 444 萬美元,但美國境內的經濟衝擊已創下 1,022 萬美元的歷史新高。這種環境意味著即使是局部的網路侵害,也足以威脅 SMB 客戶的存續。
  • 憑證填補全面加速: AI 驅動的憑證填補機器人在雲端端點上執行持續性的登入迴圈,導致在任何給定月份中,受監控環境內平均有 31% 的使用者暴露出憑證風險。
  • 工業化噴灑攻擊: 自動化密碼噴灑攻擊每月利用超過 14,000 個獨特的來源 IP,且基礎設施足跡正以 13% 的月增率持續擴張,顯示出攻擊已轉向高度協則的自動化規模。
  • 演進中的釣魚藍圖: 攻擊者在 15 個以上的不同戰術執行路徑中套用 AI 自動化。威脅獵捕框架已從識別基礎的錯字,轉向評估進階的排版異常,包括檢視字串中是否使用了正確的長破折號(em dash)語法,這反映出機器撰寫的誘餌已逼真到真假難辨。

 

2. 身分惡意利用向量與會期竊取

隨著企業強制執行基礎的周界組態配置,身分安全已取代端點監控,成為企業防禦的核心焦點。威脅份子將精力高度集中在濫用合法且已通過驗證的工作階段(Sessions),而非試圖蠻力破解複雜的密碼。

  • 曝險基準線: 存在至少一個經核實的憑證洩漏源,已成為 89% 中小型企業目錄環境的永久常態。
  • 持續性的周界壓力: 未授權或未經驗證的連線企圖約佔全球企業登入流量的 28% 至 30%,在所有佈署區域中維持著高密度的常態分佈。
  • 會期權杖劫持躍升主流: 會期劫持(Session hijacking)在 180 天窗口內增長了 23%,確立其為增長最迅速的身分風險因子。對手部署中間人(AiTM)框架來攔截合法的會期權杖,完全繞過了傳統的多因素驗證(MFA)提示令。
  • 人類因素的嚴峻挑戰: 儘管軟體漏洞利用已成為首要的初始進入向量,憑證濫用仍在下游外洩事件中佔了 13%,且高達 62% 的企業侵害事件涉及人類的操作行為。
  • 工業化連線路由: 威脅集團透過已知的惡意代管基礎設施與遭入侵的 VPN 端點來路由驗證企圖,導致這些惡意連線在 120 天監控窗口內激增了 50%。
  • 地理事件群聚對映: 從地理分佈來看,美國佔了所有記錄中 AiTM 代理釣魚事件的 75.4%。此分佈指向了高密度的目標資產,以及針對北美企業架構發展得極其成熟的網路釣魚即服務(PaaS)市場。

 

3. 郵件竄改與商業電子郵件詐騙(BEC)

電子郵件平台依然是財務詐欺的主要管道。一旦攻擊者入侵了某個身分,他們頻繁使用靜默的信箱組態變更而非執行惡意軟體,來神不知鬼不覺地轉移財務交易。

  • 敲詐損失規模: 商業電子郵件詐騙在向 FBI IC3 正式呈報的 21,442 起投訴中造成了超過 27.7 億美元的損失,成為全球總損害金額第二高的網路犯罪類別。
  • SMB 損失指標: 針對中階企業架構的經核實 BEC 事件,每起損失金額從 14 萬美元到 150 萬美元不等,此等損失規模會直接阻斷企業的償債能力。
  • 防禦性隔離飆升: 自動化郵件系統觸發了 240% 的電子郵件隔離行動以反制入站詐欺;與此同時,企圖尋求長期存取的威脅份子所實施的惡意信箱規則竄改,也呈現近 100% 的擴張。
  • 濫用信箱規則以實現持久化: 惡意收件匣修改(直接對應至 MITRE ATT&CK 技術 T1098.003)已成為維持持久存取權的首要手法。在美國,304 個獨立實例顯示惡意規則生成暴增了 13 倍,黑客藉此靜默刪除系統管理警報並攔截清除供應商的付款查詢。
  • 透過 SendAs 特權實施冒充: 遙測日誌捕獲了近 200 萬次獨特的 SendAs 執行請求,這明確預示了廣泛的郵件冒充現象——攻擊者劫持受信任的內部地址來路由詐欺性的發票更新資訊。

 

4. 勒索軟體戰術與端點曝險面

勒索軟體對業務連續性依然具備極高的破壞性,攻擊者正果斷地轉向「自攜工具(Living-off-the-Land, LotL)」戰術,將 MSP 自身所依賴的管理公用程式反過來武器化,用以對抗客戶網路。

  • 敲詐擴散分水嶺: 在最新的 Verizon 數據中,勒索軟體出現在 48% 的企業外洩事件中,高於前一年度的 44%。這一成長甚至發生在全球贖金中位數降至 139,875 美元,且僅有 31% 的受害者選擇妥協支付的背景下。
  • SMB 目標定位指標: 勒索軟體存在於 88% 的中小型企業外洩事件中,證明了 SMB 是核心的首要目標,而非連帶受損的次要附庸。
  • 維運停機時間的真正衝擊: 網路停機帶來的財務衝擊可高達勒索贖金本身的 50 倍,證實了維運天數的損失與復原摩擦力,才是推高事件成本的真正元兇。
  • 加密前特權跡象全面加速: 行為分析引擎在緊湊的 50 天觀測窗口內,攔截到加密前潛伏足跡指標增加了 190%,證實攻擊者前期的資產發現行為具有極高的可視性。
  • 將 RMM 架構武器化: 遠端監控與管理(RMM)工具的操縱構成了最大的端點威脅類別,佔所有端點安全事件的 26.2%。攻擊者將焦點高度鎖定在劫持 MSP 用以維護客戶環境的受信任工具。
  • 向無檔案攻擊轉型: 傳統依賴特徵碼的惡意軟體偵測率下降了 55%,而在同一窗口內,惡意行為異常指標則同步攀升。此消彼長證實了業界正廣泛轉向無檔案(Fileless)攻擊,輕鬆繞過標準的檔案掃描控制。
  • 假期脆弱性波動: 勒索軟體事件在 12 月份飆升至所有記錄基礎設施威脅的 8.2%,幾乎是歷史 180 天基準線的兩倍。這完全符合黑客長久以來的作戰模式:專門挑選工程與資安人力通常最為薄弱的假期發動攻勢。

 

5. 雲端多租戶環境與 SaaS 風險

共享雲端協作空間已成為資料外洩與持久性後門的核心目標,攻擊者已跨越了傳統憑證的限制,轉向惡意利用應用程式的整合權限權杖(Tokens)。

  • OAuth 同意授權濫用激增: 惡意 OAuth 同意請求在 10 月至 1 月之間增長了 45%,隨後在 1 月至 2 月之間又爬升了 24%。攻擊者槓桿這些持久性的應用程式權杖來維持全域系統管理權限,而這些權限在使用者重設密碼後依然能完全存活。
  • 跨平台基礎設施濫用: 跨平台漏洞利用驅動了 Google Workspace OAuth 權限濫用暴增 2,000%,並伴隨著 125,983 起經核實的高風險 Google Workspace 登入事件。僅保障單一雲端供應商的安全已不足以護衛多租戶環境。
  • Microsoft Teams 釣魚新向量: 協作工具已被高度轉化為首要的釣魚渠道,在 180 天窗口內有超過 310 萬條挾帶惡意連結的訊息透過 Microsoft Teams 路由。這些流量完全繞過了旨在捍衛企業郵件的 SPF、DKIM 和 DMARC 驗證層。
  • 資安預算結構性重配: 在這些雲端脆弱性的驅使下,雲端安全支出年增率已攀セン 28.8%,成為全球技術基礎設施投入中增長最迅速的次細分領域。

 

6. 2026 年下半季戰略預測

As the industry moves through the second half of the year, security budgets and risk management strategies are adjusting to counter these automated threat trends:

  • 託管資安市場趨勢: 全球資訊安全總支出預計將達到 2,442 億美元,展現 13.3% 的年增率。由於普遍的人才荒促使更多組織將專業安全職能外包,託管安全服務供應商正迎來爆發式增長。
  • MSP 供應鏈集中化風險: 遙測數據顯示,若主要的 MSP 基礎設施遭遇侵害或突然離線,高達 98% 的組織將在瞬間面臨嚴重的維運曝險。這種系統性的單點故障,解釋了為何敲詐勒索財團正加劇對託管服務供應鏈的攻勢。
  • 未完成的金鑰轉型: 儘管 68% 具備前瞻思維的組織已佈署或正積極測試無密碼 FIDO2 金鑰(Passkeys)架構,但仍有 57% 的日常業務存取依然仰賴傳統、可被釣魚竊取的驗證方法。這一佈署斷層確保了憑證收割與會期劫持在可預見的未來仍將是主流的攻擊路徑。

 

託管服務供應商(MSP)的維運現實

傳統的安全網路周界觀念已然消逝。資安維運已無法再將網路身分保護、會期監控及實時行為分析視為進階、選配的附加服務;相反地,必須將其作為所有客戶的默認核心服務層來落地。因為從會期劫持到高階 BEC,幾乎每一個主要的威脅向量都將矛頭直指身分層(Identity layer),關閉這一特定的組態配置缺口,是 MSP 能夠在瞬間降低整個客戶資產組合風險的最有效單一控制手段。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

企業安全指南:身分和存取控制基礎知識

現代存取控制架構

用於管理身分、強制執行特權及保護資料環境的資安與 IT 藍圖

戰略簡報: 存取控制扮演著組織數位守門人的角色,確保經驗證的實體僅能與其角色所需的特定資源進行互動,同時阻斷未授權的向量。存取控制絕非獨立運作的公用程式,而是成熟的「身分識別與存取管理(IAM)」框架的核心技術支柱。精通這些機制對於中和資料曝險、優化 IT 管理以及達成結構性法規遵循至關重要。

定義存取控制矩陣

存取控制是一種主動式的資料安全工作流,旨在管制、監控並審計橫跨企業端點、目錄和資料庫基礎設施的使用者互動。透過建立明確的密碼學檢查與細粒度的權限規則,它能將攻擊面降至最低,並確保關鍵的組織資產免受橫向移動(Lateral Movement)的惡意利用。

實體防禦與邏輯防禦的對比

完善的風險戰略需要清晰區分現代企業的實體周界與數位邊界:

  • 實體存取控制: 管轄真實世界中對實體企業資產的接近與進入。例如:辦公室周界的 IoT 門禁卡掃描器、受識別證限制的資料中心旋轉閘門,以及保護核心伺服器基礎設施的生物辨識鎖。
  • 邏輯存取控制: 管制數位生態系統內部的互動邊界。它槓桿軟體協定、目錄系統和密碼學政策,在雲端網路、應用程式和作業系統中執行識別、驗證與授權維運。

身分安全的核心支柱

雖然存取控制常與 IAM 混用,但它實際上代表了此一更廣泛管理學科中的戰術執行層。IAM 支配了整個身分生命周期——從初始帳號佈建(Provisioning)到持續性的群組治理;而存取控制則透過三個獨立的維運來管理即時的工作階段檢查點:

1. 身分驗證 (Authentication)——身分的核實

系統透過將提供的使用者憑證與受信任的密碼學資料庫進行驗證,藉此確立使用者的身分。標準驗證因素包括獨特的使用者名稱與密碼組合、生物辨識參數以及硬體安全金鑰。雖然強固的多因素驗證(MFA)能顯著降低基於身分的風險,但在多層次的安全模型中,它僅作為初始的驗證步驟。

2. 權限授權 (Authorization)——特權的強制執行

授權在身分驗證完成後立即執行,負責定義並將特定的資源存取邊界對映至該身分。授權政策並非給予寬泛的環境可視性,而是確立精確的參數——例如,允許特定的身分群組讀取雲端儲存庫的後設資料(Metadata),同時完全阻斷該主機集群內的寫入或刪除特權。

3. 持續性資安審計 (Audit)——功效的評估

持續性的日誌分析與權限姿態審查,提供了驗證控制健康度所需的反饋迴圈。自動化審計能追蹤使用者行為、發現特權蠕升(Privilege Creep)、定位過期的角色指派,並產生滿足國際合規框架(如 SOC 2、ISO 27001 和 HIPAA)所需的不可篡改證據。


四種核心存取控制模型的分類學

組織會根據其擴展目標與風險輪廓,圍繞四種不同的維運哲學來建構其授權引擎:

安全模型核心授權驅動因素首要管理動態
強制存取控制 (MAC)集中式系統標籤與分類由高階管理員嚴格管控;終端使用者完全無權更改或將權限傳遞給同儕帳戶。
自主存取控制 (DAC)資源建立者的擁有權利產生檔案或資料夾的個別使用者,擁有依其自主意願授予或撤銷讀取、寫入與執行特權的權限。
角色導向存取控制 (RBAC)組織職能與目錄位置權限直接與預先定義的職稱(如財務管理員、資安分析師)綁定,實現租戶生命週期的標準化。
屬性導向存取控制 (ABAC)動態環境與情境變數在解鎖資料前,先評估即時參數——例如設備合規狀態、傳入 IP 的信譽評等以及地理位置。

槓桿自主 AI 實現實時威脅緩解

傳統的存取架構通常是靜態且可預測的,依賴僵化的參數,而這些參數很容易透過遭竊的工作階段權權杖(Tokens)或高階社交工程被繞過。將 AI 整合至存取控制中,允許組織即時分析登入請求背後的脈絡,將防禦從反應式解析轉向跨越五個關鍵向量的主動式緩解:

  • 自動化生命週期佈建: 當人員調動角色、變更部門或離職時,系統能瞬間修改或停用網路存取權限,消除了手動維護目錄的負擔。
  • 根除特權蠕升: 持續分析全體員工的作用中應用程式使用情況,標記並縮減未使用的權限,以落實真正的最小特權原則(PoLP)。
  • 情境式異常偵測: 為每個身分建立正常的維運時間與資料傳輸模式基準線,一旦帳戶嘗試非預期的大量檔案下載或異常的跨國查詢,系統便會立即予以隔離。
  • 自動化威脅遏制: 當即時風險評分顯示存在活躍的帳戶接管企圖時,立即觸發進階驗證挑戰(例如要求硬體 FIDO2 金鑰確認)或瞬間鎖定工作階段。
  • 稽核就緒的合規遙測: 自動串聯使用者習慣、端點健康日誌和驗證歷史紀錄,產生乾淨、整合的資料軌跡,大幅精簡法規報告流程。

存取控制軟體戰略分類

企業級工具通常橫跨五大核心維運軟體範疇。挑選最佳配置需要將業務維運目標與資源可用性進行媒合:

  1. 憑證管理套件: 在分散的工程與維運團隊之間,利用端到端加密框架安全地產生、隔離並分發驗證金鑰與密碼金鑰(Passkeys)。
  2. 持續性監控與遙測平台: 記錄並追蹤橫跨 SaaS 應用程式的身分軌跡,建立具備防篡改特性的審計記錄,同時揪出可疑的橫向導航。
  3. 生命週期佈建公用程式: 與主要的身分識別供應商(IdP)原生對接,實現帳號建立、權限繼承及離職工作流的自動化。
  4. 原則執行點(PEP)引擎: 賦予管理員單一主控畫面以設定全公司統一的安全邊界,例如強制的防釣魚 MFA 政策與密碼複雜度規則。
  5. 集中式身分識別儲存庫: 作為組織的權威目錄與單一事實來源,儲存經驗證的員工設定檔與安全許可階層。

維運整合優化: 組織無需購買五種獨立的軟體平台。現代資安解決方案頻繁地將多種功能特性融為一體,交付單一且統一的控制平面。


利用 NordPass 鞏固身分保證機制

實施有效的存取控制要求在維持強固安全的同時,不引入使用者摩擦力。NordPass for Business 透過將零知識(Zero-knowledge)憑證金庫與主動式存取管理完美凝聚至單一易於管理的平台中,切中了解決此一需求的核心。

NordPass 透過三大關鍵能力強化企業存取控制:

  • 細粒度、政策導向的共享: 利用「共享資料夾」與自訂管理群組,在不同的組織單元之間安全地分發密碼、加密筆記和企業金鑰,以維持嚴格的存取邊界。
  • 編排式多因素驗證: 透過強制執行二次驗證層來捍衛企業入口網站的安全,支援安全金鑰、裝置端生物辨識,以及直接配置於安全保存庫內建的 TOTP 驗證器。
  • 主動式持續風險分析: 跨越基礎的存取規則限制,持續評估安全姿態。整合的「資料外洩掃描器」結合實時的「密碼健康度」儀表板,能在弱質、重複使用或已暴露的憑證被黑客用作初始攻擊向量前,率先將其捕獲。

歡迎立即聯絡我們的安全架構團隊,了解如何簡化您的合規報告,並在您的組織中統一存取控制安全防線。

VDI vs. 企業瀏覽器:建構安全的辦公空間存取架構

VDI vs. 企業瀏覽器:建構安全的辦公空間存取架構

技術藍圖:評估託管桌面與瀏覽器級安全控制對應遠端與混合工作負載的優劣

戰略簡報: 現代企業存取設計需要在安全的資料防護限制與基礎設施開銷之間取得平衡。虛擬桌面基礎設施(VDI)透過在集中式雲端中心託管整個作業環境來隔離企業工作負載。相反地,企業瀏覽器將資料外洩防護(DLP)和身分識別意識邊界原生嵌入網頁會期層(Web session layer)內部。本篇對比藍圖將評估這兩種存取範式的運作機制、維運權衡及配置模型。

拆解兩種存取方法論

為了在個人裝置(BYOD)與外部外部合作夥伴池之間安全地擴展使用者存取規模,IT 架構師必須選擇企業強制令在何處執行。VDI 與企業瀏覽器在端點裝置上代表了完全不同的安全邊界:

  • VDI 維運機制: 主機電腦純粹充當輸入/輸出終端——串流螢幕更新、滑鼠座標和鍵盤敲擊。所有應用程式都在資料中心或雲端實例中隔離的虛擬機器上執行,使敏感的企業資料完全不落地於在地儲存空間。
  • 企業瀏覽器維運機制: 安全強制令直接移入網頁應用程式的會期層。受管的瀏覽器設定檔並非將整個桌面虛擬化,而是將在地的應用程式引擎視為一個安全的沙箱,根據使用者身分來管制下載、剪貼簿互動、擴充功能以及雲端資料的可視性。

1. 虛擬桌面基礎設施(VDI)

VDI 的佈署分為持久性(Persistent)或非持久性(Non-persistent)資源池。持久性實例為每位獨立使用者分配一台專屬的虛擬機器,以保留客製化的系統參數、作用中的組態配置和資料日誌。非持久性佈署設定檔則利用動態的通用映像檔池;工作階段會在使用者登出時被系統性地抹除並重設為基準組態,從而壓低運算資源成本。

託管式運算的核心效益

  • 絕對的在地資料隔離: 敏感檔案完全存在於主機儲存基礎設施內,在未受管制的使用者端點上不留任何實體足跡。
  • 傳統與舊版軟體支援: 原生支援主機端(Fat-client)架構、高負載處理工具,以及無法在標準瀏覽器環境中執行的舊版 Windows 應用程式。
  • 統一的系統維護: 將作業系統修補程式、映像檔修改、合規性審計和防火牆管理集中在一個受控的網路周界內。

基礎設施脆弱性與維運摩擦點

  • 顯著的資源開銷: 為完全只與雲端 SaaS 平台互動的使用者運行一個完整的作業系統實例,會引入不必要的運算、網路和儲存成本。
  • 效能降級: 遠端員工與佈署不足或距離遙遠的會期主機之間的網路延遲,可能會導致明顯的輸入延遲,影響使用者生產力。
  • 端點惡意穿透: 如果在地的宿主系統遭到低階鍵盤記錄器或螢幕側錄惡意軟體的侵害,攻擊者仍然可以直接從渲染的螢幕視窗中擷取工作階段參數。

2. 安全企業瀏覽器

隨著標準企業維運大量轉向 SaaS 應用程式、網頁端工具和雲端基礎設施,網頁瀏覽器實際上已成為企業資料的首要作業系統。企業瀏覽器將這個互動層轉化為原生的策略引擎。

瀏覽器級安全的核心效益

  • 細粒度的會期規則強制執行: 賦予管理員對網頁行為的直接控制權,包括限制複製貼上操作、阻斷資料下載、防止未經核准的檔案上傳,以及管理擴充功能的安裝。
  • 無摩擦的 BYOD 與外部夥伴佈署: 安全政策直接套用於使用者設定檔和驗證狀態,而不需要複雜的裝置完整配置或安裝高負載的端點軟體代理程式。
  • 內建的影子 IT 可視性: 直接記錄網頁流量,以即時發現未經授權的 SaaS 應用程式和未經核准的生成式 AI 使用模式。

架構邊界與缺口

  • 零傳統相容性: 完全無法路由或保障傳統桌面應用程式、非網頁命令列工具或傳統主機端公用程式的安全。
  • 對身分識別框架的依賴: 完全依賴與強效身分識別供應商(IdP)的整合、嚴格的條件式存取規則以及持續性的裝置姿態檢查,以維持強固的安全邊界。
  • 端點脆弱性曝險: 在在地宿主機器內運作,這意味著底層環境若遭遇高階鍵盤記錄器和憑證竊取型資訊竊取軟體(Infostealer)侵襲時,依然存在曝險。

架構對比矩陣

評估存取工具需要將業務應用程式需求與維運開銷的容忍度進行媒合:

維運向量虛擬桌面基礎設施(VDI)安全企業瀏覽器
執行位置託管虛擬機器(雲端 / 資料中心)在地裝置(受控瀏覽器引擎)
應用程式範疇全方位(SaaS、原生、舊版、主機端應用)僅限網頁(SaaS、內部網頁入口網站)
資源消耗成本高(運算、儲存與高昂的授權費用)極低(聚焦於政策與身分識別層)
使用者體驗足跡高度依賴頻寬與伺服器鄰近基礎與原生瀏覽完全相同;網頁應用具備低延遲性
裝置端資料落地零在地資料殘留僅限加密的快取後設資料,受政策管制
首要目標用戶特徵傳統工作流、高權限用戶、高度受管制的環境SaaS 優先員工、遠端外部夥伴、BYOD 使用者

企業瀏覽器能否完全取代 VDI?

對於完全在雲端原生框架和 SaaS 工具上運作的組織而言,答案越來越傾向「是的」。當員工每天透過 Salesforce、Microsoft 365 和 Jira 等平台開展業務時,將這些流量路由到高成本、高延遲的虛擬桌面環境中會帶來不必要的開銷。企業瀏覽器直接在會期層提供了同等的資料外洩防護(DLP)和政策強制執行,顯著降低了對複雜 VDI 陣列的依賴。

然而,企業瀏覽器無法執行非網頁應用程式,或與特定底層作業系統勾點(Hooks)綁定的傳統工具。對於依賴主機端資料庫或高度專業化軟體環境的組織,VDI 仍然是一個不可或缺的架構元素。對大多數企業而言,最有效率的配置是混合存取模型:針對專業的舊版應用程式佈署 VDI,並針對通用的網頁端工作流採用安全的企業瀏覽器。


資安架構師的戰略決策框架

系統架構師在選擇企業存取策略時,應權衡應用程式需求與維運限制:

何時優先選擇 VDI

  • 使用者需要定期、低延遲地存取舊版 Windows 程式或主機端內部架構。
  • 合規性授權明確要求,在任何情況下,絕對不能有任何企業資料快取接觸到在地使用者的實體硬體。
  • 第三方開發人員或工程師需要高效能、集中式的運算資源(例如專用的編譯器區塊或設計工具)。

何時優先選擇企業瀏覽器

  • 公司應用程式生態系統主要由標準的 SaaS 平台和雲端環境主導。
  • 團隊必須在不佈署實體筆記型電腦或配置複雜 MDM 設定檔的情況下,快速引導外部合約員工、外部合作夥伴或 BYOD 使用者上線。
  • 資安團隊希望在不虛擬化整個桌面的情況下,針對生成式 AI 工具實施剪貼簿邊界、上傳限制和具備情境意識的規則。
  • 組織正在轉向零信任網路存取(ZTNA)模型,將存取權與身分識別綁定,而非與網路周界綁定。

利用 NordLayer 精簡網頁存取安全

企業資安團隊不必妥協於非黑即白的單一手法。平衡的安全姿態涉及將正確的工具與每個特定的使用情境進行媒合。在 VDI 處理需要完整託管桌面的工作負載之時,企業瀏覽器則能保障更廣泛的 SaaS 與私有網頁應用程式的安全。

NordLayer Browser 專為保障這種以網頁為核心的曝險面安全而設計。它交付了一個受管的辦公瀏覽器設定檔,具備身分識別意識的存取控制、細粒度的資料限制(阻斷不安全的下載、未經核實的上傳和複製貼上外洩),以及針對釣魚網域的主動防禦。

透過將核心瀏覽器級控制與現有的身分識別架構相結合,NordLayer 允許組織為專業的舊版任務保留高成本的 VDI 運算資源,同時為遠端員工和外部夥伴提供快速、安全且合規的網頁存取環境。

關於 NordLayer
NordLayer 是現代企業的自適應性網絡存取安全解決方案,來自世界上其中一個最值得信賴的網絡安全品牌 Nord Security。致力於幫助 CEO、CIO 和 IT 管理員輕鬆應對網絡擴展和安全挑戰。NordLayer 與零信任網絡存取(ZTNA)和安全服務邊緣(SSE)原則保持一致,是一個無需硬件的解決方案,保護公司企業免受現代網絡威脅。通過 NordLayer,各種規模的公司企業都可以在不需要深入專業技術知識的情況下保護他們的團隊和網絡,它易於部署、管理和擴展。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

ESET參與全球“終局行動”,旨在摧毀Amadey殭屍網路和Stealc資訊竊取程式。

  • ESET 參與了一項全球協調行動,成功摧毀並瓦解了 Amadey 與 Stealc 惡意軟體網路。
  • 本次破獲行動旨在查封所有已知的 Amadey 和 Stealc 中繼站(C&C 伺服器)或使其失效,直接切斷這兩大「服務型惡意軟體(MaaS)」旗下結盟夥伴(Affiliates)所依賴的基礎設施。
  • ESET 研究團隊提供了關鍵的技術分析、統計數據、已知中繼站伺服器清單、加密金鑰、攻擊活動識別碼以及其他深度情資。
  • 在本次報告中,ESET 研究團隊針對這兩大惡意軟體家族在結盟夥伴層級的 MaaS 生態系統進行了全面剖析。

布拉提斯拉瓦、布拉格2026 年 6 月 24 日 — ESET 研究團隊透過提供精確的技術分析、基礎設施追蹤以及結盟夥伴層級的深入洞察,全力協助破獲 Amadey 殭屍網路(Botnet)與 Stealc 資訊竊取軟體(Infostealer)。這兩款惡意軟體皆以「服務型惡意軟體(MaaS)」模式進行商業化運作。

本次破獲行動由微軟數位犯罪單位(DCU)、BitSight、Lumen 以及三井物產安全方向公司(MBSD)聯合協調,旨在全面打擊 Amadey 和 Stealc 結盟夥伴所使用的所有已知網路基礎設施,以癱瘓其網路犯罪維運。與此同時,歐洲刑警組織(Europol)的歐洲網路犯罪中心(EC3)與歐洲執法首長夥伴(包括德國聯邦刑事警察局、荷蘭國家警察局及丹麥國家警察局),聯手 IBM 和 Proofpoint,在「終局行動(Operation Endgame)」的框架下對 Stealc 展開深度調查。

根據 ESET 的遙測偵測率數據顯示,Amadey 的蹤跡遍布全球,並未呈現特定的區域集中性。其中偵測率最高的國家為印度、土耳其、埃及、墨西哥和西班牙。同樣地,Stealc 亦呈全球化分佈,且無特定區域聚焦;其偵測率最高的地區則為美國、波蘭和義大利。

ESET 藉由分享長期追蹤這兩大惡意軟體家族期間所蒐集到的技術分析、統計資訊、已知命令與控制(C&C)伺服器清單、加密金鑰、惡意編譯版本與攻擊活動識別碼等核心威脅情資,為本次破獲行動做出了重大貢獻。

參與協助本次 Amadey 與 Stealc 破獲行動的 ESET 專屬研究人員 Jakub Tomanek 解釋道:「ESET 在過去三年中持續追蹤 Amadey 殭屍網路與 Stealc 資訊竊取軟體。為了配合這次的執法行動,我們分享了涵蓋 2025 年第四季至 2026 年上半季的統計數據,以及從處理過的惡意軟體樣本中提取出的技術指標與組態配置數據。我們的自動化系統一直在對 Amadey 和 Stealc 的樣本進行逆向剖析,以識別出對於大規模追蹤最關鍵的底層欄位。這包括中繼站伺服器位址、編譯版本識別碼、加密金鑰、網頁 URL 路徑、攻擊活動識別碼,以及這些惡意軟體家族在與攻擊者控制之基礎設施通訊時所使用的其他內嵌參數值。」

透過分享這些深入的技術分析、統計資料與威脅情資(如中繼站伺服器清單、結盟夥伴識別碼和加密金鑰),能讓各國執法機構以極高的精確度與信心,鎖定這些惡意基礎設施並採取攔截與查封行動。

在技術特性上,Amadey 是一款模組化的惡意軟體下載器(Loader)。其核心目的在於將額外的惡意代碼分發部署至受害系統中,不過它也提供了用於資料外洩和遠端控制的延伸模組。相比之下,Stealc 則是典型的「服務型資訊竊取軟體」。它專門搜刮憑證、瀏覽器 Cookie、加密貨幣錢包、瀏覽器擴充功能,以及符合結盟夥伴自訂特徵的特定檔案。

這兩大惡意軟體家族皆在暗網論壇上大肆刊登廣告,並以服務訂閱模式進行兜售。在這兩個生態系中,結盟夥伴都會獲得一個自主託管的管理控制面板,且必須部署在夥伴自己的伺服器基礎設施上。這對結盟夥伴的技術能力提出了一定的要求,但同時也讓夥伴能對受害者數據與惡意 payload 的分發擁有直接的掌控權。

雖然具體的散播手法最終取決於各個結盟夥伴的個人戰略,但 ESET 的遙測數據一致顯示,這兩款惡意軟體皆透過極為廣泛的管道進行傳遞。最常見的渠道包括偽造的軟體更新提示、破解版軟體安裝檔(Cracked software installers)以及第三方的惡意軟體下載器。

Amadey 採用的是「按次重新編譯(Pay-per-rebuild)」的收費模式。結盟夥伴在購買基礎授權後,每次需要產生新的編譯版本時(例如因中繼站遭封鎖而需要輪換到新的 C&C 伺服器時),都必須支付額外費用。換句話說,Amadey 的核心營運者並不向夥伴提供自主產生器(Builder tool),而是由營運者根據每位夥伴的要求手動編譯樣本。Amadey 提供了三個用於進階資料外洩與存取的模組:剪貼簿監控模組、憑證竊取模組以及基於 VNC 的遠端存取模組。該服務的基礎授權定價為 600 美元(以比特幣支付),每次重新編譯則額外加收 50 美元。

Stealc 則採取了對結盟夥伴更為友善的模式,在訂閱期內允許夥伴無限次產生編譯版本。這大幅降低了夥伴輪換 C&C 基礎設施的維運成本,使其能根據作戰需要隨時產生新的惡意樣本。它鎖定的資料來源極為廣泛,包括網頁瀏覽器、電子郵件用戶端、FTP 用戶端、遊戲平台所儲存的憑證,以及加密貨幣錢包檔案與瀏覽器擴充功能。Stealc 以月租訂閱模式銷售,最便宜的方案為每六個月 1,000 美元。

為了避免在黑客同儕圈中遭遇冒充詐騙,這兩款惡意軟體的營運者皆在暗網論壇上明確指示潛在的結盟夥伴,必須嚴格透過官方指定渠道與其建立聯繫。Amadey 引導買家透過其刊登廣告的暗網論壇私訊對接,而 Stealc 則使用暗網論壇私訊或專屬的 Telegram 頻道進行溝通。

ESET 將持續密切監控這兩個惡意軟體家族,並全面追蹤其在遭遇本次毀滅性打擊後,任何試圖重建維運基礎設施的死灰復燃跡象。

如欲了解更多關於 Amadey 與 Stealc 破獲行動的技術細節,請至 WeLiveSecurity.com 參閱 ESET 研究團隊的部落格專文:〈ESET 參與全球聯合行動,聯手破獲 Amadey 與 Stealc〉。請務必在 Twitter(即現今的 X)BlueSkyMastodon 上追蹤 ESET Research,以獲取 ESET 研究團隊的第一手最新網路資安新聞。

Amadey 全球分佈 – 偵測熱圖 (2025 年至今)

Stealc 全球分佈 – 偵測熱圖 (2025 年至今)

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

密碼管理悖論:數位衛生習慣偏離的實證分析

曝險威脅的心理學

評估密碼總量下降與持續性驗證漏洞之間的脫節現象

策略分析簡報: 人類行為依然是安全工程中最重要的控制槓桿。雖然近期的全球遙測數據指出,個人管理的密碼總量有顯著下降,但活躍的威脅地景並未因此縮減。相反地,憑證重複使用、瀏覽器層級的單點故障(Single-point-of-failure)儲存習慣,以及橫跨社會經濟人口統計的結構性差距,正使企業與消費者的數位身分高度暴露於自動化社交工程與會期劫持(Session Hijacking)的風險之中。

分析密碼波動率指標

長期追蹤顯示,在 2020 年代初期,身分債務(Identity Debt)呈現持續累積的趨勢,每位使用者擁有的平均密碼數在 2024 年達到了 168 個機密的峰值。然而,來自 2026 年的全面市場數據則呈現出大幅度的萎縮,平均密碼數急劇下降至 120 個。這一萎縮主要是受到替代驗證路徑的大規模採用所驅動——特別是同盟單一登入(SSO)網關(如 Google 和 Apple 生態系統),以及生物辨識和 FIDO2 金鑰(Passkeys)等無密碼密碼學實作。

雖然較小的密碼足跡在維運上是令人期待的,但它卻掩蓋了複合式的風險集中化(Consolidation Risk)。公用資料外洩事件現在包含的獨立洩漏源變少了,但單一資料夾所挾帶的憑證快取密度與價值卻顯著提高。這改變了威脅模型:攻擊者現在只要破解一個同盟根帳戶或被重複使用的主要憑證,就能自動化地瞬間取得橫跨整個下游應用程式網路的存取權限。


瀏覽器層級安全的幻覺

為了評估身分憑證被儲存於何處,以及特定的安全行為為何會持續存在,資安團隊橫跨全球八大主要區域(包括美國、英國、德國和義大利)進行了全面研究。數據凸顯出使用者對「便利性」的強烈偏好遠勝於「硬化(Hardened)的隔離層」:

全球儲存分布與行為破口

  • 內建瀏覽器獨霸: 全球平均有 40% 的參與者完全依賴其瀏覽器內建的密碼儲存功能。在美國,有 18% 的使用者試圖透過結合瀏覽器工具與第三方軟體來建立備援機制,而類似的模式在加拿大也清晰可見。
  • 在地節點威脅向量: 基於瀏覽器的憑證管理工具,會將身分安全直接與該主機應用程式的帳戶綁定。如果對手透過在地化的資訊竊取軟體(Infostealers)或會期劫持破解了父級設定檔,他們就能瞬間繼承儲存在該瀏覽器實例中的整個純文字憑證庫。
  • 實體記錄的持續存在: 將憑證寫在紙上或純文字數位筆記中的做法依然普遍。在英國,這種未經加密的方法佔了 6%;而在法國則高達 13%——甚至超越了法國使用者採用「瀏覽器與第三方工具結合」策略的 11% 比例。

人口統計學悖論:數位原生世代 vs. 實務輪換

將驗證習慣按年齡層進行細分後,結果顛覆了過去關於年輕世代具備較高網路資安素養的傳統假設。雖然 Z 世代(18–24 歲)對數位應用程式操作極其熟練,但他們對密碼衛生的抵觸情緒卻最高,成為在 12 個月週期內最不傾向輪換其長期使用密碼的群體。

相反地,較年長的人口統計區塊(特別是 55–64 歲年齡層)輪換憑證的頻率要高得多,但他們卻習慣仰賴不安全的儲存方法(如憑記憶或實體筆記本),這在結構上持續侵蝕了輪換帶來的安全效益。這種變異意味著沒有任何單一人口統計區塊能夠同時滿足安全驗證方程式的兩側:強固且定期輪換的機密,並配對經加固、加密的儲存金庫。

人口統計群組首要技術工具偏好首要行為脆弱性
Z 世代 (Generation Z)高度採用瀏覽器內建功能與行動應用程式。對密碼更新有極高的抵觸感;具備最高比例的跨年度憑證停滯率。
戰後嬰兒潮 (Baby Boomers)低度採用專屬的加密軟體;高度依賴離線追蹤。頻繁的輪換被弱質、具可預測性的模式以及未加密的實體儲存所蠶食。
低收入群體 (Low-Income)在結構上缺乏資安支援;高度依賴未加密的訊息對話紀錄與零散紙張。對於專屬商業安全平台的接觸機會與資安意識極其有限。
高收入群體 (High-Income)在專屬、獨立的密碼管理工具方面具備最高的採用率。其潛在曝險主要受到企業帳戶共享行為以及寬泛的第三方工具權限所驅動。

脆弱驗證的系統性驅動因素

高風險憑證習慣之所以持續存在,源於平台設計失效與架構摩擦力的雙重影響:

  • 摩擦力與便利性的權衡: 複雜的登入步驟經常引發使用者挫折感。為了避免重複執行繁瑣的密碼重設工作流,使用者常態性地退回到憑證重複使用的老路,在完全不相關的個人與專業服務中,使用相同或僅微幅修改的字串。
  • 上游平台強制令的缺失: 對全球前 1,000 大存取量最高的網頁目的地進行結構性審查後發現,僅有區區 1% 的網站主動強制執行現代密碼安全規範(如嚴格的最小字元長度、大小寫檢查與特殊字元變異)。在缺乏強制性規則的情況下,使用者預設會建立弱質、易記的字串。
  • 社會經濟意識差距: 先進的密碼學保護工具被高收入階層不成比例地廣泛利用,且通常是透過企業的合規倡議所引入。低收入區塊在結構上依然缺乏資安支援,不僅對專屬密碼軟體的認知較為匱乏,也更頻繁地預設使用未加密的資料記錄模式。

建構下一代身分硬化架構

緩解憑證遭竊與帳戶接管風險,需要將身分架構轉向基於三個維運層級的結構化模型:

1. 部署獨立的零知識憑證金庫

將憑證完全移出標準的網頁瀏覽器,轉向獨立、專屬的密碼管理平台(如 NordPass)。NordPass 建立在零知識(Zero-knowledge)加密架構之上,確保敏感的驗證記錄在離開裝置前即已完全加密。透過自動化安全自動填入、即時密碼健康度分析以及持續性資料外洩掃描等功能,資安團隊能夠在不引入使用者摩擦力的前提下,徹底消除憑證重複使用的弊病。

2. 遷移至非對稱的無密碼框架

在系統支援的情況下,企業與個人應將靜態密碼替換為密碼學金鑰(Passkeys)。金鑰利用 FIDO2 和 WebAuthn 標準,將傳統的共享機密替換為透過在地裝置生物辨識進行驗證的公鑰-私鑰對。由於底層沒有任何可以被收割或重複使用的密碼,金鑰在原生層面就能直接瓦解網路釣魚與憑證填補(Credential Stuffing)攻擊。

3. 強制執行嚴格的行為與系統控制

加固您的身分足跡,要求在每個端點上皆維持極佳的數位衛生:

  • 在每個獨立的應用程式介面上,強制執行嚴格的唯一、自動生成憑證政策,以斬斷憑證重複使用的連鎖反應。
  • 在所有端點作業系統、瀏覽器和安全工具上維持嚴格的軟體更新時程,以封殺在地組態設定破口。
  • 持續追蹤演進中、由 AI 驅動的社交工程手法,確保偵測戰略與意識培訓能夠與現代對手的惡意能力並駕齊驅。
×

Hello!

Click one of our contacts below to chat on WhatsApp

×