沿用基於資料包分析、異常偵測和邊界檢查的傳統流量監控模型,會浪費IT團隊寶貴的時間。這是因為攻擊者正不斷開發更先進的技術來規避傳統系統的偵測,利用那些僅基於網路流量的安全工具無法發現的漏洞。
事實上,世界經濟論壇2025年發布的一項全球調查顯示,72%的受訪者表示組織機構面臨的網路風險增加,這反映出威脅正在不斷演變以規避傳統防禦措施。此外,無檔案攻擊的成功率是傳統基於檔案的惡意軟體攻擊的10倍
網路犯罪者不再依靠反覆試誤。如今,他們的行動精準無比,不留任何痕跡。他們大量使用無檔案攻擊,利用 PowerShell 和 WMI 等合法系統工具執行惡意命令而不引起懷疑,並在網路中悄無聲息地橫向移動,彷彿他們原本就是網路環境的一部分。
這種攻擊方式刻意偽裝成合法行為:流量不會引起懷疑,使用的工具並非未知,且事件不符合常見的威脅模式。根據世界經濟論壇2025年報告,在這種情況下,66%的組織認為 人工智慧將對網路安全產生最顯著的影響,無論是在防禦還是攻擊方面,這反映了一種範式轉移。
傳統的安全解決方案,例如防火牆、入侵偵測系統和簡單的關聯分析系統,已無法提供必要的保護,尤其是在47%的組織將由生成式人工智慧驅動的對抗性攻擊視為其主要擔憂的情況下。此外,54%的大型組織認為供應鏈漏洞是網路韌性的最大障礙,這進一步加劇了挑戰。
粒度可見性的作用
在這種情況下,精細化的可見性成為有效網路安全策略的基本要求。它指的是能夠以情境化和持續的方式,詳細觀察端點、使用者、流程、內部流程以及系統間活動的行為。
這種方法需要使用更先進的技術,例如 EDR(端點偵測與回應)、XDR(擴展偵測與回應)和 NDR(網路偵測與回應)。這些工具在從網路到端點的各個層面收集遙測數據,並應用行為分析、人工智慧和事件關聯技術來偵測在僅透過流量監控的環境中會被忽略的威脅。
利用隱形技術
隱蔽攻擊中最常使用的戰術包括:
- DNS隧道技術,即將資料封裝在看似普通的DNS查詢中;
- 數位隱寫術,即將惡意指令隱藏在影像、音訊或視訊檔案中;
- 加密的命令和控制 (C2) 通道可在惡意軟體與其控制者之間提供安全通信,使攔截變得困難。
- 這些技術不僅繞過了傳統系統,也利用了安全層之間關聯的缺陷。流量表面上看起來乾淨,但真正的活動卻隱藏在合法操作或加密模式背後。
智慧和情境監控
為了應對此類威脅,分析必須超越入侵指標 (IoC),並開始考慮行為指標 (IoB)。這意味著不僅要監控“訪問或傳輸了什麼”,還要監控特定行為發生的“方式”、“時間”、“由誰”以及“背景”。
此外,透過整合身份驗證日誌、命令執行、橫向移動和 API 呼叫等不同資料來源,可以偵測到細微的偏差,並對事件做出更快、更準確的回應。
這一切意味著什麼?
網路攻擊日益複雜化,迫切需要重新評估數位防禦措施。流量監控仍然必要,但它已不再是唯一的防護支柱。精細化的可視性,結合持續、情境化和關聯分析,對於偵測和緩解隱蔽威脅至關重要。
如今,投資先進的偵測技術和考慮系統真實行為的策略,是對抗那些懂得如何隱藏在眾目睽睽之下的對手的唯一有效方法。
