勒索軟體對關鍵基礎設施的定時威脅

在全球數位化進程中，關鍵基礎設施（Critical Infrastructure, CI），包括能源、製造、公共事業與電信等部門，已成為勒索軟體攻擊的首要目標。這些部門一旦癱瘓，將對國家安全、經濟穩定及社會民生造成災難性後果。近年來，儘管勒索軟體攻擊的整體頻率有所下降，但攻擊者發動攻擊的時機選擇卻成為一個日益嚴峻的威脅問題。

攻擊者已不再盲目發動攻勢，而是採取高度策略性的「定時炸彈」模式，專門利用企業防禦體系最薄弱、應變能力最遲緩的時段進行滲透與爆發。Semperis 發布的《2025年假日勒索軟體風險報告》揭示了這一令人警覺的趨勢，強烈指出關鍵基礎設施組織必須將持續的警覺性和強大的復原能力，視為其網路安全戰略中不可或缺的核心要素。這場時間的攻防戰，要求所有組織重新審視其人力資源配置、事件應變計畫，特別是身份系統（Identity Systems）的復原能力。

 

攻擊模式分析：週末與重大事件的漏洞利用

勒索軟體攻擊者展現出高度的「耐心」和「堅持性」，將攻擊時機設定在能夠最大化其破壞性及成功率的窗口期。這些窗口期主要集中在兩類情境：一是企業人手不足、反應時間變慢的非工作時段；二是企業網路環境處於動盪、治理與問責制模糊不清的重大變革期。

Semperis 的一份最新報告顯示，大多數勒索軟體攻擊者仍然選擇在企業最脆弱的時候發動攻擊，過去12個月內報告的勒索軟體攻擊中，52%發生在週末或假日。約60%的攻擊發生在重大事件之後，例如合併、收購或裁員。 有超過一半的受訪者表示，他們曾遭受勒索軟體攻擊，而攻擊往往發生在週末或假日，此時人手不足，反應較慢。更多受訪者表示，攻擊發生在重大企業事件之後，例如併購，此時網路處於動盪狀態，防禦能力可能捉襟見肘。這項研究明確指出。

美國首任國家網路總監、Semperis策略顧問Chris Inglis指出，勒索軟體組織恰恰在企業面臨合併、收購或裁員等重大事件時的「分心」與「治理模糊」的環境中茁壯成長。在這些關鍵時刻，組織常承受著巨大壓力，必須在維持日常運營的同時進行結構轉型，難以承受停機帶來的損失，從而更傾向於快速支付贖金以恢復營運。

 

數據揭示的勒索軟體新常態與行業暴露程度

報告的深入數據進一步佐證了週末與重大事件後攻擊的普遍性，同時揭示了關鍵基礎設施部門的嚴峻暴露程度：

關鍵基礎設施部門的風險熱區

• 能源組織：勒索軟體攻擊發生在週末或假日的比例高達62%，而在重大公司事件之後發生的比例更達到85%。儘管89%的能源組織掃描身份系統漏洞，但僅28%具備漏洞修復程序，顯示其應變能力存在巨大缺口。

• 製造業與公共事業：這兩個行業有54%的勒索軟體攻擊發生在週末或假日，81%發生在重大事件之後。僅有5%的組織內部設有安全營運中心（SOC），並在非工作時間大幅削減人力。

• IT與電信業：該部門報告了最高的週末和假日事件發生率，高達70%的攻擊發生在這些時段，有75%的攻擊由重大公司事件引發。

安全營運中心（SOC）的人力真空

調查發現，高達78%的受訪組織在週末和假日期間將SOC的人員配置削減了50%或更多，甚至有6%的組織完全切斷了這些時段的人員駐守。儘管超過四分之三的組織現在選擇內部運營SOC，以加強控制，但為了提供員工工作與生活平衡（work/life balance），他們卻創造了攻擊者夢寐以求的低防禦窗口期。

 

身份系統復原：數位韌性的核心支柱

Semperis 的報告強調，必須將身份系統復原視為危機應變計畫的核心組成部分，認識到身分安全在業務韌性中的作用並及早解決漏洞僅僅是第一步，安全領導者還需要在其IT災難復原計畫和更廣泛的事件應變計畫中建立強大的應變和復原能力。

身份系統，特別是微軟的Active Directory（AD）和雲端身份服務（如Entra ID或Okta），是勒索軟體攻擊的「王冠上的珠寶」。攻擊者一旦攻破身份系統，即可控制整個企業網路，快速提升權限、部署惡意軟體並阻止復原。

調查數據揭示了復原能力的嚴重不足：90%的受訪者表示他們有檢測身份系統漏洞的解決方案和程序，但僅有45%具備實際的漏洞修復程序，且只有63%能實現身份系統復原的自動化。這種從「檢測」到「修復」和「復原」的巨大能力落差，是導致攻擊成功的關鍵因素。在災難復原方面，雖然65%的組織將Active Directory復原納入計畫，但對Entra ID和Okta等雲端身份服務的覆蓋率則顯得不足，分別僅有42%和61%。

 

建構全面性韌性的戰略藍圖

面對勒索軟體定時攻擊的威脅，組織不能僅依賴傳統的防禦措施。強健的數位韌性要求採取全面的、跨部門的戰略。

強化身份防禦與事後復原能力

首先，安全領導者必須立即收窄「檢測-修復-復原」能力之間的差距。必須將漏洞掃描轉化為高效且自動化的修復流程。其次，應優先對Active Directory進行審查，並考慮在併購或重大變動發生前進行現代化改造，以防範攻擊者在系統整合的混亂中利用身份系統漏洞。

跨團隊的韌性使命

該指南敦促各組織將韌性作為所有團隊（而不僅僅是安全團隊）的首要目標，透過專注於維持日常營運的關鍵基礎設施，領導者可以更好地評估自身面臨的風險，並加強對勒索軟體風險的防禦。 這要求業務連續性計畫、IT災難復原（ITDR）和安全事件應變計畫（IRP）必須深度整合，並定期進行包含身份系統復原的模擬演練。

技術創新與人員配置的平衡

儘管AI驅動的監控與檢測技術有望減輕SOC人員的壓力，但安全領導者必須對這些技術的能力保持務實態度。技術不能完全取代人為的判斷力與應變能力。因此，組織應探索創新的排班策略，如採取「假設被入侵」（assume breach）的心態，在非工作時段保持高度警覺，確保關鍵時刻有足夠且具備應變能力的專家在崗。

 

邁向持續運營與全面韌性的未來

Semperis的報告向全球關鍵基礎設施組織發出了明確的行動呼籲：當前的勒索軟體威脅不再是隨機事件，而是針對組織最脆弱時刻的精確打擊。週末、假日和重大企業事件已成為攻擊者鎖定的黃金時段。

組織的成功不再僅取決於其防禦能力，更取決於其從最壞情況中快速且完整復原的能力。將身份系統復原提升到危機應變計畫的核心地位，填補修復能力的缺口，並在所有團隊中建立「韌性」文化，是應對這種定時威脅的必經之路。只有透過持續的警覺、主動的身份防禦和強大的復原機制，關鍵基礎設施才能確保其持續運營，並在全球不斷演變的網路威脅環境中，維持穩固的國家與經濟安全基石。

資料來源：https://industrialcyber.co/ransomware/semperis-warns-that-holiday-and-weekend-gaps-leave-critical-infrastructure-open-to-ransomware-attacks/