# Cyberzagrożenia 2025: analiza 400 000 alertów MDR od Kaspersky
Usługi MDR, Incident Response i Compromise Assessment Kaspersky przetworzyły dane 200 000 klientów korporacyjnych. W 2025 roku zarejestrowano 400 000 alertów. Sztuczna inteligencja automatycznie zamknęła 95 000 (24%), analitycy SOC odfiltrowali 87% z pozostałych 300 000. Do klientów dotarło 21 000 incydentów.
Czas reakcji: 42 minuty dla krytycznych, 33 minuty dla średnich, 31 minuta dla niskich. Wskaźnik poprawił się o 22% w porównaniu z 2024 rokiem dzięki automatyzacji.
Dynamika krytyczności incydentów
Udział incydentów krytycznych spada szósty rok z rzędu: z 14,3% w 2021 do 3,8% w 2025. MDR wykrywał do trzech takich przypadków dziennie. 97% incydentów to średnia i niska krytyczność, głównie od zautomatyzowanego złośliwego oprogramowania i oportunistycznych ataków.
Ataki sterowane przez człowieka rzadziej procentowo, ale pozostają najbardziej niebezpieczne. Skuteczne zatrzymywanie na wczesnych etapach wyjaśnia trend spadkowy krytyczności.
Najbardziej narażone branże
Top-3 branże pod względem udziału incydentów:
- Sektor publiczny — 19%
- Przemysł — 17%
- IT — 15% (wyprzedził finanse)
W sektorze IT udział incydentów krytycznych — 4,9%, w sektorze publicznym — 4,3% (powyżej średniej). Wzrost ataków na IT wiąże się z kompromitacją łańcuchów dostaw: hakowanie dostawców usług i integratorów w celu dostępu do klientów. Zarejestrowano przypadki sekwencyjnej kompromitacji kilku organizacji.
Początkowe wektory dostępu
Według Incident Response:
- Wykorzystanie publicznych aplikacji — 43,7%
- Sfałszowane dane logowania — 25,4%
- Relacje zaufane (podwykonawcy) — 15,5%
Phishing wypadł z top-3 w 2023 roku, teraz używany w łańcuchach. Ataki przez podwykonawców to trend od 2023: hakowanie słabo chronionych firm z zdalnym dostępem do klientów, ruch wygląda na legalny.
Skutki udanych ataków
Szyfrowanie danych — 39% incydentów z szkodami. Dalej: umocowanie w celu wpływu (12%), exfiltracja przez web (7%).
Różnice w czasie wykrycia:
- Po szkodach: szyfrowanie, niszczenie danych, zatrzymanie usług.
- Przed szkodami: umocowanie, kompromitacja Active Directory.
Czas pobytu zależy od dojrzałości monitoringu, a nie wektora.
Wykorzystywane luki
50% luk w Incident Response to RCE, często bez uwierzytelniania. Top:
- CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) — ładowanie plików bez autoryzacji
- CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) — niebezpieczna deserializacja, RCE
- CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) — przejęcie usługi bez uwierzytelniania
- CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) — obejście uwierzytelniania
1/3 luk z 2021 roku, ProxyLogon w Exchange aktualny po czterech latach. Włamania przez znane dziury z łatami.
Narzędzia atakujących
LOLBins w krytycznych incydentach MDR:
| Narzędzie | Udział |
|-----------|--------|
| powershell.exe | 14,4% |
| rundll32.exe | 5,9% |
| mshta.exe | 3,8% |
| comsvcs.dll | 3,0% |
| msedge.exe | 2,7% |
mshta.exe wzrósł przez fałszywe CAPTCHA. Specjalistyczne: Mimikatz (14,3%), PowerShell (8,1%), PsExec/AnyDesk (7,5%). Przypadek: DLL Hijacking przez MPDefender.exe.
Problemy SOC
Pokrycie źródeł regułami — 43% średnio, przy 50+ źródłach — 30%. Problemy:
- Degradacja pokrycia z braku kontroli.
- Reguły vendorów bez adaptacji — fałszywe alarmy.
- Nierównomierny zbiór bez detekcji (sieć, BD, web).
Nowe techniki 2025
T1568 Dynamic Resolution w top-10 po konwersji (23%): DGA, Fast Flux DNS. Przypadek: nadużycie rezerwacji URL w HTTP.sys do ukrytego C2, ruch jak Exchange.
Co najważniejsze
- Incydenty krytyczne — 3,8%, ale MDR zatrzymuje przed szkodami.
- Top wektory: publiczne aplikacje (43,7%), konta (25,4%), podwykonawcy (15,5%).
- Luki: 50% RCE, 1/3 z 2021, łatki dostępne.
- SOC pokrywa 43% danych, degradacja to kluczowe ryzyko.
- Sektor IT w top-3 (15%), ataki przez łańcuchy dostaw.
— Editorial Team
Brak komentarzy.