📰 Help Net Security

Útoky, kterým padají všichni (a jak se jich zbavit)

kyberbezpečnost
Útoky, kterým padají všichni (a jak se jich zbavit)

Souhrn

Většina kybernetických útoků nevychází z pokročilých zero-day explozit nebo špionážních operací států, ale z opakovaně známých a snadno zneužitelných vektorů: ukradených přihlašovacích údajů, phishingu a neopravených zranitelností. Odborník Ross Haleliuk z Venture in Security upozorňuje, že organizace často podceňují tyto běžné hrozby ve prospěch mediálně atraktivnějších, ale méně častých scénářů.

Klíčové body

  • 22 % úniků začíná zneužitím přihlašovacích údajů, 20 % využívá známé zranitelnosti a 16 % phishing.
  • V roce 2025 vzrostl počet uniklých přihlašovacích údajů o 160 % oproti předchozímu roku.
  • Útoky využívají především osobní účty, které se následně používají k přístupu do firemních systémů.
  • Útočníci preferují osvědčené, levné a škálovatelné metody místo sofistikovaných technik.

Podrobnosti

Statistiky z posledních let ukazují nezvratný trend: útočníci se neobtěžují vyvíjet nové metody, pokud staré stále fungují. Nejčastějším vstupním bodem do firemní infrastruktury je zneužití přihlašovacích údajů – často těch z osobních účtů, které uživatelé opakovaně používají i pro pracovní systémy. Například v červenci 2024 uniklo najednou 10 miliard přihlašovacích údajů z populárních online služeb. Tyto údaje se následně objevují na podzemních fórech, kde je útočníci týdny analyzují a plánují cílené útoky.

Zranitelnosti v softwaru, které nejsou včas opraveny, jsou druhým nejčastějším vektorem. I když výrobci pravidelně vydávají záplaty, mnoho organizací je neaplikuje včas – buď kvůli nedostatku zdrojů, nebo kvůli obavám z výpadků systémů. Phishing zůstává třetím pilířem útoků, protože lidé jsou stále nejslabším článkem bezpečnostního řetězce.

Proč je to důležité

Tento článek připomíná, že efektivní kyberbezpečnost nezávisí na nákupu nejnovějších nástrojů pro detekci APT útoků, ale na systematickém řešení základních hygienických opatření: správě přístupových údajů, pravidelném patchování a vzdělávání uživatelů. Bez těchto základů je jakákoli pokročilá ochrana iluzorní. Pro firmy to znamená přesunutí rozpočtů z reaktivních řešení k prevenci běžných, ale vysoce úspěšných útoků.

Číst původní článek

Zdroj: 📰 Help Net Security