Tento text původně vyšel v tištěném vydání magazínu Channeltrends z března 2026.
Další články si můžete přečíst na webu zde.
Magazín si můžete objednat i v elektronické podobě.
„Za největší trend loňského roku považuji pokračující, byť pomalou přípravu na NIS2,“ zahajuje debatu Ondřej Šabata, system engineer ve společnosti Zebra systems. „Tam, kde je regulace relevantní, firmy postupně podnikají kroky, ale často až na poslední chvíli. Setkali jsme se však i se situací, kdy organizace očekávala, že se jí bude týkat vyšší režim regulace, což se nakonec nepotvrdilo. To podle mého názoru ukazuje, že příprava není vždy úplně systematická. Z hlediska útoků vidíme několik zásadních oblastí. Silné jsou útoky na průmyslové prostředí, kde útočníci používají specializované nástroje. Zároveň sledujeme častější státem podporované útoky, což potvrzují i výroční zprávy BIS. Tyto hrozby se postupně přelévají i do našeho regionu. Poslední jsou pak klasické, čistě komerční ransomwarové útoky, kde pozorujeme větší zaměření na snazší cíle. Útočníci si tak zajistí stabilnější příjem po malých částkách, což je pro ně výhodnější než zkoušet, zda vyjde či nevyjde jeden útok, který by jim přinesl miliony.“
Jiří Hasala, obchodní ředitel, IS4 security
„Za nás byl loňský rok hodně o nárůstu sofistikovanosti útoků, ale ne nutně ve smyslu úplně nových technologií,“ navazuje Jiří Hasala, obchodní ředitel společnosti IS4 security. Útočníci častěji využívají nástroje, které již v prostředí OS existují. Velkým trendem jsou techniky Living Off The Land (LOtL) – podle zjištění společnosti Bitdefender byly využity ve většině závažných útoků. Útočníci používají legitimní nástroje systému, a tím obcházejí tradiční detekci antimalwaru. Výrazně roste i kvalita phishingu. Dnes už běžný uživatel prakticky sám nedokáže rozlišit, zda je e-mail legitimní, nebo podvodný. To znamená, že klasická prevence jen na úrovni ,pozor na podezřelé e-maily‘ nestačí. Minulý rok byl samozřejmě také výrazně poznamenaný umělou inteligencí, čemuž se zcela jistě nevyhneme ani do budoucna. Sledujeme sílící trend využívání AI nástrojů k páchání či zefektivňování útoků. Útoky jsou mnohem rychlejší než dříve. Zvyšuje se počet skupin, které díky AI získávají know-how, které by jinak neměly, a umělá inteligence jim zároveň pomáhá lépe skrývat identitu. Vnímáme také obecný trend nástupu nových technologií, které jsou nasazovány rychleji, než se řeší jejich bezpečnost. Organizace implementují nové AI nástroje, ale bezpečnostní opatření často přicházejí až sekundárně. To vytváří nové příležitosti pro útočníky.“
„Souhlasím s tím, že minulý rok výrazně ovlivnil rozvoj AI,“ souhlasí Lucie Hlaváčová, business development managerka Cisco Security ve společnosti TD Synnex. „S tím přímo souvisí zrychlení kybernetických útoků. Dnes, když se objeví nová zranitelnost, útočníci reagují v řádu hodin. IT týmy mají mnohem kratší čas na reakci než dříve. Proto je nutné začít využívat AI nejen na straně útočníků, ale i na straně obrany. Bez automatizace a inteligentních nástrojů není možné držet krok. Rychlost je klíčová. Posunul se i vektor útoků, kdy se útočníci čím dál častěji dostávají do sítě prostřednictvím zastaralého softwaru či hardwaru a začínají útočit přímo na podnikovou infrastrukturu. V České republice a obecně na celém světě jsme také zaznamenali, že začínají být častější útoky na veřejné instituce oproti soukromému sektoru. Vysvětlení je nasnadě – právě zde se častěji nachází zastaralý hardware a software. V neposlední řadě je zřejmé, že většina kyberbezpečnostních vendorů se postupně přesouvá od roztříštěných produktů k platformním řešením, konsolidují svá bezpečnostní řešení do větších nástrojů na správu bezpečnosti.“
Tomáš Krotký, director of channel partnerships, Eset
„V zásadě bych mohl potvrdit vše, což již zaznělo,“ přikyvuje Tomáš Krotký, director of channel partnerships ve společnosti Eset. „Z mého pohledu je jedním z klíčových témat centralizace IT bezpečnosti a nástup spravovaných služeb. Na trhu je obecně nedostatek kvalifikovaných lidí. Dalším trendem je legislativní tlak na úroveň firemního zabezpečení. Stále platí, že řada zákazníků si ,odškrtne‘ investici do bezpečnosti – nakoupí řešení, investuje nemalé prostředky, ale pak s daty systematicky nepracuje a nikdo aktivně nesleduje, co se v prostředí skutečně děje, a tohle je zásadní problém. Bezpečnost není jen o nákupu XDR nebo jiného nástroje, ale o tom, že se o něj aktivně starám a vyhodnocuji incidenty. Zároveň můžu potvrdit, že i Eset zaznamenal ústup tradičního ransomwaru, jakkoliv meziroční nárůst zveřejněných útoků na DLS je 50 %. Zcela tedy rozhodně nevymizel, ale čím dál častěji se objevují kombinované spear phishingové útoky, deepfaky a podobně. S tím souvisí též rozmach útoků ClickFix, kdy útočníci zneužívají autority či důvěry uživatele a snaží se skrze legitimní nástroje přimět uživatele k tomu, aby udělal kroky, které útočníkovi pomůžou získat přístup k zařízení oběti nebo dál do infrastruktury. Nárůst těchto útoků je v meziročním srovnání v řádu stovek procent, což je skutečně obrovské číslo.“
Ransomware už nehraje prim
„V ransomwaru sledujeme posun směrem k využívání legitimních nástrojů,“ pokračuje novým tématem Jiří Hasala (IS4 security). Vrátím se ještě k technikám LOtL – pozorujeme trend, kdy útočníci již méně často vymýšlejí nové typy ransomwaru, ale využívají právě legitimní nástroje typu BitLocker. Dostanou se do systému a pomocí technik LOtL vytvoří např. skripty a tasky vedoucí k přešifrování dat vlastním klíčem. Běžný antimalware nic nepozná, protože je použit legitimní nástroj. A jakmile dojde k restartování počítačů, jsou zašifrované a uživatel uvidí jen odkaz na výkupné. To je podle mě zásadní změna, jelikož útok je méně nápadný a obtížněji detekovatelný. Útočníci často nepotřebují přinést do systému vlastní škodlivý kód – pracují s tím, co už tam je. Dalším trendem je psychologický nátlak, kdy se útočníci snaží vyvolat u firmy dojem, že byla napadena (např. zašifrováním/odcizením dat), ale spíše než o reálný útok jde o vyvolání paniky a časového presu u oběti, a tím docílení toho, že firma nebude mít čas zjišťovat, zda skutečně došlo k útoku, a raději rychle zaplatí. Pro útočníky je to samozřejmě lákavá technika, protože mohou dosáhnout rychlého zisku.“
Lucie Hlaváčová, business development managerka Cisco Security, TD Synnex
„Z mého pohledu je ransomware stále velmi silnou hrozbou, ale mění se jeho dynamika,“ zamýšlí se Lucie Hlaváčová (TD Synnex). „Z nedávné zprávy Cisco Talos vyplynulo, že ransomware v první polovině roku tvořil zhruba polovinu veškerých zaznamenaných útoků. V druhé polovině roku podíl klesl zhruba na dvacet procent a v posledním kvartálu to procento bylo ještě nižší. To ovšem neznamená, že by ransomware zmizel jako takový, ale že útočníci kombinují více technik a jejich hrozby jsou mnohem sofistikovanější než dřív. V loňském roce se hackerům podařilo zablokovat kritická data několika letišť, kdy jim k napáchání velkých škod stačil jeden sofistikovaný útok na slabinu v dodavatelském řetězci. Ransomware je zároveň mnohem dostupnější, útočníkovi v podstatě stačí jít na dark web a stáhnout si AI asistenta – sám už nemusí disponovat hlubokými hackerskými znalostmi. Útoky tedy jednoznačně zrychlují, jsou sofistikovanější a útočníci se přesouvají i k jiným taktikám a jiným slabinám v řetězci.“
„Ransomware v poslední době prošel obdobím vnitřního chaosu,“ konstatuje Tomáš Krotký (Eset). „V únoru 2024 došlo k narušení skupiny LockBit, do té doby dominantního hráče na trhu. Jelikož je možné ransomware jednoduše pořídit jako službu, výrazně také vzrostla aktivita skupiny RansomHub. Ta nashromáždila stovky velkých obětí, mezi nimi například Halliburton nebo Kawasaki Europe, které se staly terčem útoků skupin a útočníků využívajících předpřipravený kód k proniknutí do firemních systémů. Na vzestupu jsou takzvané EDR killers – kdy si útočníci velmi dobře uvědomují nutnost nejprve ,oslepit‘ moderní bezpečnostní systémy. Dostat se zvenčí do společnosti je stále obtížnější, a nikoho tak asi nepřekvapí, že nejslabším článkem zůstává samotný uživatel. Útočníci proto přicházejí s novými metodami, jak společnosti napadnout. Například s technikou bring your own vulnerable driver. Ta spočívá ve zneužití legitimních, často starších ovladačů se známou zranitelností, kterou následně útočníci využijí k proniknutí hlouběji do systémů a k převzetí kontroly nad prostředím zákazníků. Útoky jsou tedy kombinací mnoha prvků a je nutné reagovat rychle. Klíčovou roli hraje pravidelný dohled. Jak jsem zmínil na začátku, stále máme velký nedostatek kvalifikovaných odborníků, kteří dokážou analyzovat, co je v síti podezřelé, a co je naopak legitimní chování uživatele. Bezpečnost se posunula do nové fáze – nehledáme už jen škodlivý kód na úrovni souborů, ale především nebezpečné chování, které je často velmi obtížné odhalit, protože může pocházet z běžných aplikací a procesů.“
Ondřej Šabata, system engineer, Zebra systems
„V samotných produktech se toho zásadního příliš nemění,“ navazuje Ondřej Šabata (Zebra systems), „protože detekci založenou na chování a umělé inteligenci považujeme u EDR řešení za standard už dlouhou dobu. Navázal bych ale na potřebu výrazně zrychlit reakce. Z dostupných reportů vyplývá, že klesá takzvaný dwell time – doba mezi okamžikem, kdy se útočník dostane do sítě, a chvílí, kdy spustí samotný útok. Útočníci například využívají intermitentní šifrování, kdy zašifrují jen části souboru, aby byl nečitelný, což celý proces výrazně urychlí. Pokles počtu klasických ransomwarových útoků je částečně způsoben i tím, že se objevují dostupnější a jednodušší cíle. S rostoucím využíváním cloudových aplikací je snazší zaútočit na uživatele pomocí phishingu, získat jeho přihlašovací údaje, a obejít tak složitější infiltrace do interní sítě. To, co dříve bývalo až druhým nebo třetím krokem útoku – tedy exfiltrace dat a následné vydírání – se dnes často stává cílem primárním. Útočník se například dostane do prostředí Microsoft 365, stáhne e‑maily nebo jiné citlivé informace a vydírání probíhá přímo na této úrovni. Získat přihlašovací údaje je totiž mnohem jednodušší než proniknout do celé firemní infrastruktury.“
Zdroj: Channeltrends
Channeltrends (dříve ChannelWorld), který je určený pro prodejce, dodavatele služeb a profesionály v prodejním kanálu IT a CE, si můžete objednat i jako klasický časopis. V tištěném speciálu vydávaném čtvrtletně najdete články, rozhovory, komentáře, analýzy, přehledy partnerských programů a řadu dalších informací pro resellery, VAR a další profesionály působící v oblasti prodejního kanálu a distribuce.
Jednotlivá čísla si můžete objednat i v digitální podobě.
