Kиберпрестъпниците вече се нуждаят от малко над час след проникване в нечия ИТ инфраструктура, за да осъществят кражба на данни. Подобно темпо поставя под въпрос ефективността на традиционните практики за откриване и реагиране при инциденти.
Най-бързите атаки достигат до ексфилтрация само за 72 минути, сочи новият глобален анализ на над 750 сериозни киберинцидента в повече от 50 държави, изготвен от Palo Alto Networks. Става дума за четирикратно ускорение спрямо предходната година.
Нападателите все по-активно използват автоматизация и изкуствен интелект, за да съкратят времето между проникване, ескалация на привилегии и изнасяне на информация. Това създава сериозен оперативен натиск върху защитните екипи.
Времевият прозорец за откриване и ограничаване на атаката се свива до минимум. В подобна среда всяко забавяне струва скъпо.
Факт е и друга устойчива тенденция – разширяване на повърхността за атака. В 87% от случаите компрометирането обхваща две или повече среди едновременно, включително крайни устройства, облачни инфраструктури, SaaS приложения и системи за управление на идентичности.
В някои случаи активността се разгръща паралелно на до десет фронта. Това значително усложнява корелацията на събитията и реакцията в реално време.
Идентичността остава ключов вектор. В 65% от анализираните случаи първоначалният достъп е постигнат чрез техники, базирани на идентификационни данни – фишинг, социално инженерство или злоупотреба с валидни акаунти – докато експлоатацията на софтуерни уязвимости стои зад 22% от пробивите.
Откраднатите логин данни осигуряват привидно легитимен достъп, казват анализаторите на Palo Alto Networks, която изнесе данните. А това позволява “странично придвижване” без необходимост от допълнителни усилия.
Браузърът също се превръща в стратегическа точка на компрометиране. Почти половината от инцидентите – 48% – включват активност през уеб сесии, използвани за кражба на идентификационни данни или отвличане на токени.
Това е пряко следствие от масовото използване на уеб-базирани приложения за електронна поща, сътрудничество и администриране. Браузърът вече е де факто “работно място”.
Нараства и делът на атаките по веригата на доставки чрез SaaS приложения на трети страни. От 2022 г. насам тези инциденти са се увеличили 3,8 пъти и вече представляват 23% от разглежданите случаи.
Нападателите злоупотребяват с OAuth токени и API ключове, за да се придвижват между системи, като достъпът често остава активен дори след смяна на паролите. Това излага на риск цели екосистеми, а не само отделни организации.
В 90% от пробивите се откриват неправилни конфигурации или пропуски в контрола на сигурността. Отворени услуги, прекомерни привилегии, слаба видимост върху облачни ресурси и доверие по подразбиране – всичко това се превръща в катализатор на атаката. Сложността работи в полза на противника.
Всички тези данни са публикувани в доклада за глобално реагиране при инциденти за 2026 г. на Unit 42 – изследователското звено на Palo Alto Networks. Според Сам Рубин, старши вицепрезидент в структурата, именно оперативното разрастване и свръхдоверие във взаимосвързани системи дават стратегическо предимство на атакуващите.
Той предупреждава, че автономни AI агенти вече се използват за комбиниране на човешки и машинни идентичности с цел по-независими и мащабируеми действия.
Препоръките към директорите по информационна сигурност са недвусмислени. Необходима е реакция с „машинна скорост“, чрез по-мащабно използване на автоматизация и изкуствен интелект в грижите за сигурността.
Изисква се централизирано управление на всички типове идентичности – човешки, машинни и агентни. Наред с това е важно да се премине към модел на нулево доверие с непрекъсната верификация.
