Přes dvě třetiny (67 %) všech bezpečnostních incidentů vyšetřovaných v loňském roce expertními týmy Sophos Incident Response (IR) a Managed Detection and Response (MDR) mělo původ v útocích zaměřených na identitu, odhalila studie Sophos Active Adversary Report 2026.
Zjištění společnosti Sophos tak poukazují na to, že útočníci dále zneužívají kompromitované přihlašovací údaje, slabé nebo chybějící vícefaktorové ověřování (MFA) a nedostatečně chráněné systémy správy identit – často bez nutnosti nasadit nové nástroje nebo techniky.
Průnik v řádu hodin
Útočníci se podle analytiků stále častěji odklánějí od zneužívání zranitelností a místo toho využívají kompromitované přihlašovací údaje. Útoky hrubou silou, které tvoří 15,6 %, se jako metoda počátečního přístupu téměř vyrovnaly zneužívání zranitelností s podílem 16 %.
Medián doby, po kterou útočník zůstává v síti, klesl na tři dny. Tento pokles je podle Sophosu výsledkem nejen změn v chování útočníků, ale také rychlejší reakce obránců. Nejvýrazněji se tento trend projevil v prostředích využívajících služby řízené detekce a reakce (Managed Detection and Response, MDR).
Útočníci se navíc dostávají k Active Directory (AD) stále rychleji. Jakmile proniknou do organizace, trvá jim v průměru pouhé 3,4 hodiny, než se dostanou k serveru AD.
Už delší dobu je známé to, že ransomware je nejčastěji nasazován mimo pracovní dobu. Potvrzuje to skutečnost, že 88 % ransomwarových útoků proběhlo právě v tomto období. Podobně i 79 % případů exfiltrace dat se odehrálo mimo běžnou pracovní dobu.
Obranné úsilí organizací podle expertů oslabuje nedostatek telemetrie. Meziročně se kvůli problémům s uchováváním dat zdvojnásobil počet incidentů, u nichž chyběly potřebné logy. Tento nárůst byl z velké části způsoben firewally, které ve výchozím nastavení uchovávaly logy pouze sedm dnů, a v některých případech dokonce jen 24 hodin.
Útoky na identitu se zrychlují, mezery v MFA přetrvávají
Studie ukazuje i trvalý nárůst útoků vycházejících z kompromitace identit, včetně odcizených přihlašovacích údajů, útoků hrubou silou a phishingu. Přestože zneužití zranitelností zůstává rizikem, útočníci se při počátečním přístupu stále více spoléhají na legitimní účty, což jim umožňuje obejít tradiční opatření na obranu perimetru. V 59 % případů také chybělo MFA, což usnadnilo zneužití odcizených a kompromitovaných přihlašovacích údajů k průniku do organizace.
„Nejvíce znepokojivé zjištění studie se formovalo vlastně celé roky. Jde o dominanci příčin počátečního přístupu souvisejících s identitou. Kompromitované přihlašovací údaje, útoky hrubou silou, phishing a další taktiky využívají slabiny, které nelze řešit pouhým záplatováním. Organizace musí zaujmout proaktivní přístup k zabezpečení identit,“ řekl John Shier, Field CISO společnosti Sophos a hlavní autor zprávy.
Povyk okolo AI vs. realita
Navzdory rozšířeným předpovědím nenalezli experti Sophosu žádné důkazy o významné transformaci útočného chování s využitím umělé inteligence. Generativní AI sice zvýšila rychlost a propracovanost phishingu a sociálního inženýrství, ale zatím nevytvořila zásadně nové útočné techniky.
„AI přidává rozsah a šum, ale útočníky zatím nenahrazuje. I když by v budoucnu mohla být generativní AI dalším akcelerátorem, v současnosti stále záleží na základních opatřeních, mezi které patří silná ochrana identit, spolehlivá telemetrie a schopnost rychle reagovat, když se něco pokazí,“ uzavřel Shier.
Zdroj: Sophos
