Użytkownikom laptopów czy smartfonów zdarza się zauważyć, że po uruchomieniu nowego sprzętu od innego producenta pojawiają się na nim aplikacje, których nie było na poprzednim. Dzieje się tak mimo tego, że urządzenia pracują na tym samym systemie operacyjnym. Większość producentów preinstalu...
Stworzony w 2005 roku, Endpoint Central (wcześniej znany jako Desktop Central) miał na celu zrewolucjonizowanie sposobu, w jaki firmy zarządzają swoim IT. Przez prawie dwie dekady rozwijał się wraz z dynamicznie zmieniającymi się potrzebami nowoczesnych przedsiębiorstw. Jest dowodem na siłę nieustannej innowacji, oferu...
Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...
Dzięki uprzejmości firmy AVM w nasze ręce trafiło kolejne urządzenie marki FRITZ! Tym razem po raz pierwszy mieliśmy okazję przetestować produkt z ekosystemu FRITZ! Smart Home - bramkę FRITZ!Smart Gateway, wprowadzoną na rynek polski w marcu bieżącego roku. Urządzenie rozszerza ekosystem inteligentnego domu od AVM o ob...
Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...
Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...
Według raportu Sophos Active Adversary 2025, w ponad połowie incydentów bezpieczeństwa cyberprzestępcy po prostu logują się do systemu firmy, zamiast stosować tradycyjne metody włamania. Przejęcie danych uwierzytelniających drugi rok z rzędu jest główną przyczyną ataków. Na wykradzenie informacji hakerzy potrzebują średnio zaledwie trzech dni. Najczęściej atakują przy tym w nocy - aż 8 na 10 incydentów ransomware ma miejsce poza standardowymi godzinami pracy.
Najczęstszą przyczyną włamań do firmowych systemów jest przejęcie danych uwierzytelniających (41%). Na drugim miejscu znalazło się wykorzystanie luk w zabezpieczeniach (22%), a na trzecim ataki typu brute force (siłowe łamanie haseł) - 21%. Dostęp do firmowej sieci przestępcy uzyskują głównie wykorzystując podatności w zewnętrznych usługach zdalnych, zaimplementowanych m.in. w takich urządzeniach brzegowych jak firewalle czy bramy VPN. Z kolei najczęstszym obiektem ataków był protokół pulpitu zdalnego (RDP). W 84% incydentów bezpieczeństwa cyberprzestępcy wykorzystywali właśnie to narzędzie Microsoftu.
Cyberprzestępcy działają w nocy
Jak wskazuje raport, cyberprzestępcy najczęściej działają, gdy pracownicy są nieobecni w firmie. Aż 84% incydentów miało miejsce poza standardowymi godzinami pracy. Średni czas pomiędzy rozpoczęciem ataku ransomware a wykradzeniem danych to 73 godziny. Firmy potrzebują średnio 2,7 dnia na wykrycie ataku po już dokonanej kradzieży informacji.
Grupą hakerów, która najczęściej przeprowadzała ataki ransomware, była Akira. Zaraz za nią znalazły się Fog oraz Lockbit. Grupa Lockbit została rozbita przez międzynarodowe organy ścigania w lutym 2024 roku. Mimo to zdążyła przeprowadzić wystarczająco dużo ataków, by znaleźć się w pierwszej trójce najaktywniejszych grup.
"Bierna ochrona już nie wystarcza - skoordynowane ataki cyberprzestępców wymagają skoordynowanej obrony. Prewencja jest bardzo ważna, ale kluczowe znaczenie ma szybkie reagowanie. Firmy muszą stale monitorować sieć i reagować na incydenty natychmiast. A ponieważ większość ataków zachodzi w nocy, warto korzystać ze wsparcia zewnętrznych zespołów reagowania (MDR - Managed Detection and Response). Nasza analiza pokazała, że w przedsiębiorstwach korzystających z usług MDR, czas przebywania przestępców w firmowym systemie skraca się ze średnio 4 do 3 dni przy atakach ransomware oraz - co istotniejsze - z 11,5 do zaledwie jednego dnia w pozostałych incydentach. Różnica wynika nie tylko z zastosowanych narzędzi technicznych, kluczowe jest też całodobowe wsparcie ekspertów" - podkreśla John Shier, szef bezpieczeństwa informacji (CISO) w firmie Sophos.
Słabe zabezpieczenia to nawet 40-krotnie wyższe koszty ataku
Analizy ekspertów Sophos wykazały, że firmy stosujące wyłącznie podstawową ochronę urządzeń końcowych ponoszą nawet 40-krotnie wyższe straty finansowe i operacyjne po cyberataku, w porównaniu z przedsiębiorstwami korzystającymi z usług zarządzanego wykrywania zagrożeń i reagowania na nie (MDR). Znacznie różni się też czas potrzebny na odzyskanie pełnej sprawności po cyberatakach. Prawie połowa (47 proc.) firm korzystających z MDR powraca do normalnego funkcjonowania w ciągu zaledwie kilku dni od incydentu. W firmach korzystających tylko z ochrony urządzeń końcowych było to nawet 55 dni. W skrajnych przypadkach czas odzyskania pełnej funkcjonalności sięgał nawet 99 dni - ponad trzy miesiące kosztownego przestoju operacyjnego.
O raporcie
W raporcie „Active Adversary Report for Security Practitioners 2025” przedstawiono analizę metod i technik stosowanych przez cyberprzestępców, przeprowadzoną na podstawie ponad 400 incydentów bezpieczeństwa obsługiwanych w ramach usług MDR przez zespoły reagowania na incydenty (IR) w 2024 roku. Pełna wersja raportu jest dostępna na stronie Sophos.com.
Źródło: Sophos
