網路安全產業過去幾年一直在應對零時差漏洞、供應鏈入侵和人工智慧產生的攻擊等複雜威脅。然而，攻擊者最可靠的入口點仍然沒有改變：被盜憑證。身分攻擊仍然是當今資料外洩事件中主要的初始入侵途徑。攻擊者透過從先前洩漏的資料庫中獲取憑證、對暴露的服務進行密碼噴灑攻擊或發起網路釣魚活動來獲取有效的憑證，並利用這些憑證入侵系統。無需任何漏洞利用，只需有效的使用者名稱和密碼即可。

這種攻擊難以防禦的原因在於其初始存取的偽裝性極強。使用合法憑證成功登入並不會像連接埠掃描或惡意軟體回調那樣觸發警報。攻擊者偽裝成員工。一旦入侵成功，他們便會竊取並破解更多密碼，然後重複利用這些憑證進行橫向移動，並逐步擴大其在系統中的控制範圍。對於勒索軟體集團而言，這條攻擊鏈可在數小時內完成加密和勒索。而對於國家級駭客組織來說，同樣的入口點則支持其長期持續存在和情報收集。

人工智慧正在加速現有的變革

攻擊的基本模式並沒有太大變化。但攻擊的速度和精細程度卻改變了。攻擊者利用人工智慧技術擴大攻擊規模，他們能夠自動化地對更多目標進行憑證測試，更快地編寫客製化工具，並精心製作出更難與合法郵件區分開來的釣魚郵件。

這種加速發展給本已不堪重負的防禦者帶來了更大的壓力，安全漏洞的蔓延速度更快，擴散範圍更廣，影響範圍也更廣，從身份系統到雲端基礎設施再到終端設備，無一倖免。原本為應對較慢節奏而建構的事件回應團隊發現，他們現有的流程已無法跟上資訊安全威脅情勢。

動態事件回應方法

團隊對事件回應的思考方式與他們部署的技術控制措施同樣重要，動態事件回應方法 (DAIR)——一種旨在比傳統線性方法更有效地處理各種規模和類型的事件的模型。

經典模型將整個過程視為一個序列：準備、辨識、遏制、根除、復原、總結。問題不在於理論本身，而是實際事件並非按部就班地發生。遏制階段會湧現新的數據，從而改變你先前對事件範圍的判斷。根除階段收集到的證據會揭示你在初始偵測階段未曾了解的攻擊者策略。事件範圍幾乎總是擴大，很少縮小。

DAIR 充分考慮了這個現實。在偵測並確認安全事件後，回應團隊會進入一個循環：確定安全範圍、隔離受影響系統、清除威脅並恢復營運。隨著新資訊的出現，這個循環會不斷重複。例如，假設發生了一起基於憑證的安全攻擊，初始範圍確定了單一受影響的工作站。在隔離過程中，取證分析揭示了一種基於註冊表的持久化機制。這項發現促使團隊重新開始範圍確定——這次需要在整個企業範圍內搜尋其他系統上是否存在相同的特徵。在搜尋過程中發現的已確認攻擊者 IP 位址會觸發新一輪的隔離和清除過程。每個循環都會產生更完善的情報，從而為下一輪響應行動提供依據。

回應過程會持續循環，直到團隊和組織決策者認定事件已徹底解決。這正是DAIR與傳統模式的區別所在：它將現實世界調查中繁瑣且反覆迭代的特性視為流程的固有特徵，而非偏離流程的偏差。

溝通至上

當多個團隊齊心協力應對同一事件時——包括安全營運中心分析師、雲端工程師、事件回應負責人和系統管理員——保持協調一致可能十分困難。大多數組織在事件發生前，這些職能部門之間都無法做到完全協調，你能控制的是回應開始後溝通的有效性。

在有效的事件回應中，溝通是至關重要的因素。它決定了範圍界定資料能否傳達給相關人員，控制措施是否協調一致或相互矛盾，以及決策者是否擁有準確的資訊來指導優先順序。除了溝通之外，持續的實踐和演練也不可或缺，團隊的技術能力仍然至關重要。隨著人工智慧日益成為防禦工具包的一部分，需要經驗豐富的專業人員來有效地配置和運用這些能力。

培養真正重要的技能

那些能夠有效應對身分攻擊的組織，往往在事件發生前就已經對員工進行了訓練。他們不僅在理論層面，更透過實戰演練，讓團隊成員掌握攻擊者的實際操作方式，並使用與真實攻擊案例相同的工具和技術進行實戰演練。要有效執行 DAIR 回應循環，需要從業人員全面了解攻擊的方方面面：攻擊者如何取得存取權限、橫向移動和持續駐留，以及如何調查他們在每個階段留下的證據。

資料來源：https://thehackernews.com/2026/04/no-exploit-needed-how-attackers-walk.html