3 godzin temu
W przeciągu ostatnich trzech lat krajobraz cyberzagrożeń zmienił się dramatycznie – zaś źródłem kolejnego alarmu są dane z zespołu Unit 42, jednostki ds. analizy zagrożeń w Palo Alto Networks. Ich badania pokazują, iż mediana czasu od kompromitacji do kradzieży danych spadła z 9 dni w 2021 roku do zaledwie 2 dni w 2023 roku.
Warto przy tym podkreślić prognozę ekspertów tej jednostki, wedle której do końca 2025 r. część incydentów może być zakończona w mniej niż 30 minut – oznaczając 100-krotny wzrost prędkości ataku w porównaniu z sytuacją sprzed trzech lat.
Równolegle zmieniają się taktyki atakujących. w tej chwili aż około 86 % incydentów z udziałem systemu ransomware kończy się znacznymi zakłóceniami działalności biznesowej – celem ataku nie jest już jedynie szyfrowanie danych, ale uderzenie w reputację, relacje z klientami oraz ciągłość działania.
Zaskakującą, choć potwierdzoną przez Unit 42, tendencją jest też pomijanie szyfrowania w około 10 % przypadków – ataki typu „smash and grab” polegają wyłącznie na kradzieży lub usunięciu danych, bazując na skuteczności groźby ich ujawnienia lub trwałej utraty.
Za przyspieszeniem i eskalacją ataków stoi m.in. rosnące zastosowanie technologii sztucznej inteligencji w kampaniach phishingowych. W 2024 r., zdaniem ekspertów, aż 83 % wiadomości phishingowych wykorzystywało AI w jakimś stopniu, a około 78 % odbiorców takich wiadomości otwierało je – co stwarza atakującym ogromne pole manewru.
Dodatkowo rozwija się tzw. rynek wstępnego dostępu (access-broker), gdzie cyberprzestępcy traktują wejścia do sieci jako towar, a model „ransomware-as-a-service” obniża barierę wejścia dla nowych aktorów.
Ekonomia ataków też uległa transformacji: mediana żądanych okupu w 2024 r. osiągnęła około 1,25 mln USD – co stanowiło 2 % szacowanych rocznych przychodów ofiary. Choć negocjacje skutkują zwykle zmniejszeniem płatności do ~267 500 USD, całkowity koszt incydentu – według Unit 42 – osiąga średnio 4,91 mln USD, zwłaszcza gdy atakujący uzyskują dostęp do partnerów w łańcuchu dostaw i mnożą liczbę ofiar.
Co to oznacza z perspektywy organizacji IT? Przede wszystkim: tradycyjne podejście do bezpieczeństwa, oparte na manualnym wykrywaniu i reakcji, przestaje mieć sens. Skoro atakujący mogą w ciągu godziny (lub krócej) skompromitować system, to obrona oparta na zasobach ludzkich bez wsparcia automatyki i analityki przestaje nadążać.
Automatyzacja, rozwiązania oparte na AI oraz ścisła kooperacja człowieka z maszyną stają się warunkiem koniecznym obrony.
W praktyce oznacza to rewizję architektury bezpieczeństwa: ograniczenie powierzchni ataku poprzez szybkie wdrażanie poprawek i redukcję dostępu zdalnego (w 2023 r. eksploatacja podatności internetowych była najpowszechniejszym wektorem początkowego dostępu – w ~38,6 % przypadków), monitorowanie i analizę zachowań tożsamości, segmentację sieci („least-privilege”), oraz wdrożenie narzędzi UEBA/ITDR pozwalających wychwycić nieprawidłowe działania w czasie rzeczywistym.
Środowisko zagrożeń się kurczy pod względem czasu reakcji – a presja na biznes rośnie. Nie są już zagrożone jedynie największe korporacje: sektor służby zdrowia, energetyka, urzędy czy mniejsze firmy z wartościowymi danymi stanowią atrakcyjne cele. Dla organizacji technologicznych oznacza to konieczność działania dziś – bo jutro może być już za późno.
