Kyberhrozby 2025: analýza 400 000 upozornění MDR od Kaspersky
Služby MDR, Incident Response a Compromise Assessment od Kaspersky zpracovaly data 200 000 firemních klientů. V roce 2025 bylo zaznamenáno 400 000 upozornění. Umělá inteligence automaticky uzavřela 95 000 (24 %), analytici SOC filtrovali 87 % ze zbývajících 300 000. K klientům se dostalo 21 000 incidentů.
Čas reakce: 42 minut pro vysoce kritické, 33 minut pro střední, 31 minut pro nízké. Ukazatel se zlepšil o 22 % oproti roku 2024 díky automatizaci.
Dynamika kriticity incidentů
Podíl vysoce kritických incidentů klesá šestý rok v řadě: z 14,3 % v roce 2021 na 3,8 % v roce 2025. MDR odhaloval až tři takové případy denně. 97 % incidentů má střední nebo nízkou kritičnost, převážně od automatizovaného škodlivého softwaru a oportunistických útoků.
Útoky řízené lidmi jsou procentuálně méně časté, ale zůstávají nejnebezpečnější. Úspěšné zastavení v raných fázích vysvětluje trend poklesu kriticity.
Nejvíce ohrožené odvětví
Top 3 odvětví podle podílu incidentů:
- Veřejná správa — 19 %
- Průmysl — 17 %
- IT — 15 % (předstihlo finance)
V IT sektoru je podíl kritických incidentů 4,9 %, ve veřejné správě 4,3 % (nad průměrem). Růst útoků na IT souvisí s kompromitací dodavatelských řetězců: hackování servisních poskytovatelů a integrátorů pro přístup k klientům. Zaznamenány případy řetězené kompromitace více organizací.
Počáteční vektory přístupu
Podle Incident Response:
- Zneužití veřejných aplikací — 43,7 %
- Kompromitované přihlašovací údaje — 25,4 %
- Důvěryhodné vztahy (dodavatelé) — 15,5 %
Phishing vypadl z top 3 v roce 2023, nyní se používá v řetězcích. Útoky přes dodavatele jsou trendem od roku 2023: hackování špatně chráněných firem s dálkovým přístupem k klientům, provoz vypadá legitimně.
Důsledky úspěšných útoků
Šifrování dat — 39 % škodlivých incidentů. Dále: upevnění pro dopad (12 %), exfiltrace přes web (7 %).
Rozdíly podle času odhalení:
- Po škoda: šifrování, mazání dat, zastavení služeb.
- Před škodou: upevnění, kompromitace Active Directory.
Doba přetrvávání závisí na zralosti monitoringu, ne na vektoru.
Zneužívané zranitelnosti
50 % zranitelností v Incident Response je RCE, často bez autentizace. Top:
- CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) — nahrávání souborů bez autorizace
- CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) — nebezpečná deserializace, RCE
- CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) — ovládnutí služby bez autentizace
- CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) — obcházení autentizace
Třetina zranitelností pochází z roku 2021, ProxyLogon v Exchange je aktuální po čtyřech letech. Hacky přes známé díry s patchemi.
Nástroje útočníků
LOLBins ve vysoce kritických incidentech MDR:
| Nástroj | Podíl |
|---------|-------|
| powershell.exe | 14,4 % |
| rundll32.exe | 5,9 % |
| mshta.exe | 3,8 % |
| comsvcs.dll | 3,0 % |
| msedge.exe | 2,7 % |
mshta.exe vzrostl kvůli falešným CAPTCHA. Specializované: Mimikatz (14,3 %), PowerShell (8,1 %), PsExec/AnyDesk (7,5 %). Případ: DLL Hijacking přes MPDefender.exe.
Problémy SOC
Pokrytí zdrojů pravidly — průměrně 43 %, při 50+ zdrojích — 30 %. Problémy:
- Zhoršování pokrytí kvůli chybějící kontrole.
- Dodavatelská pravidla bez úpravy — falešné poplachy.
- Nevyvážený sběr bez detekce (síť, DB, web).
Nové techniky 2025
T1568 Dynamic Resolution v top 10 podle konverze (23 %): DGA, Fast Flux DNS. Případ: zneužití rezervace URL v HTTP.sys pro skrytý C2, provoz jako Exchange.
Co je důležité
- Vysoce kritické incidenty — 3,8 %, ale MDR je zastavuje před škodou.
- Top vektory: veřejné appky (43,7 %), účty (25,4 %), dodavatelé (15,5 %).
- Zranitelnosti: 50 % RCE, třetina z roku 2021, patche existují.
- SOC pokrývá 43 % dat, degradace je klíčové riziko.
- IT sektor v top 3 (15 %), útoky přes dodavatelské řetězce.
— Editorial Team
Zatím žádné komentáře.