M-Trends 2026報告揭示：全球有4成企業能在一星期內發現入侵，但2025年出現逆轉訊號

所謂潛伏時間，是指攻擊者自最初入侵目標環境，到入侵行為被偵測所經過的天數。從長期趨勢來看，企業整體偵測速度確實持續改善；不過，最近一年的數據出現些微反轉，顯示部分攻擊行動的隱蔽性升高，也讓企業在早期發現與應變上面臨更高壓力。

一週內偵測到惡意活動的比例長期走升，而網路間諜、北韓IT工作者入侵著重長期滲透的攻擊方式，也影響近期數據

根據報告所列的歷年數據，我們整理成下列圖表，可以幫助大家更清楚看出趨勢變化。例如，企業在一星期內發現資安事件的比例，在2018年（8年前）僅為16％，之後每年呈現逐步提升，到了2022年之後均維持在40％以上。

這代表，最近三年以來，雖然仍有約5成企業需要超過一週，才能察覺遭到滲透，但已有4成企業可在一星期內發現攻擊事件。

但要留意的是，儘管偵測能力大致呈逐年提升，但2025年「一星期內偵測」的比例，從前一年度的45.1％下降至41.5％。

為何有此變化？這是防禦端偵測能力退步還是攻擊端潛伏更強？Mandiant團隊進一步分析指出，這是因為在2025年有部分類型事件，攻擊者會優先追求長期潛伏，設法持續掌控受害環境的存取權。因此顯著影響了全球整體概況。

這兩類攻擊案例是：網路間諜活動、北韓IT工作者等入侵事件。Mandiant進一步解釋，這些事件因為濫用原生工具、利用寄生攻擊（LotL）手法隱藏行蹤，像是減少使用自定義惡意軟體、模仿合法系統工具或清除痕跡，目的就是長期掌控受害者的環境。更關鍵的是，上述兩類攻擊事件的滯留時間中位數都達到122天，也就是4個月。

換言之，從2025年的變化來看，顯示這兩類攻擊族群更偏好維持隱蔽、長期存取，而這些事件拉高了整體平均，使得全球潛伏時間中位數，也從前一年度的11天，上升至14天。

亞太地區偵測速度回落，經濟動機與間諜活動成主因

亞太地區（JAPAC）的變化也是我們關注指標，根據Mandiant團隊公布的數據，在Mandiant調查的受駭事件中，一星期內可發現資安攻擊事件的比例，從36.4％一路提升到去年51.2％，但在2025年下降至43.1％。因此亞太地區與上述全球概況有相同的趨勢變化。

一般而言，北韓IT工作者的入侵事件在亞太地區較少被揭露，上述狀況的原因可能是此範圍內發生的網路間諜攻擊事件增多？報告中指出，除了網路間諜攻擊，其實還有另一大原因在於：有經濟動機的攻擊族群在正式執行支付轉帳詐騙前，會先進行長達數月的偵察行動。這也呈現亞太地區面臨威脅態勢的不同之處。

另外，Mandiant也在此公布較為細部的數據，指出亞太地區的潛伏時間中位數為15天，其中，由企業內部偵測發現的事件中位數為7天，而經由外部通知的事件則長達38天。

值得注意的是，外部通知事件的潛伏時間中位數在2025年顯著攀升，較前兩年有明顯增加，反映出外部發現這些威脅的時間也變長。

需留意邊緣設備入侵，以及初始掮客加速攻擊鏈運作

關於潛伏時間的其他重要觀察，在另一份M-Trends 2026報告執行版有相關說明，我們整理出以下2大重點：

首先，有些攻擊者透過在邊緣設備建立持久性，而這類設備通常缺乏遙測手段，這使攻擊者在網路內保持更長時間不被發現。報告中指出，有些攻擊者能夠潛伏超過一年，其常見做法是優先使用合法憑證入侵，而非使用自製惡意程式，同時還會鎖定虛擬化基礎設施與未受管理的邊緣設備，並透過內建工具來融入標準管理作業，進而躲避偵測。

其次，初始入侵駭客（初始掮客，Initial Access Partner）的交棒時間（Time to Hand-Off）有大幅縮短的態勢。以2022年而言，初始入侵事件到交接給次階威脅集團的時間，超過8小時，2025年則縮短至22秒。對於這項劇烈變化，Mandiant認為，現在初始掮客與駭客集團已經形成更直接的協同合作，而不像過去竊取後再透過地下管道出售。