2025-ös Cisco Talos jelentés
A Cisco Talos 2025-ös Year in Review jelentése szerint a kiberfenyegetési környezet strukturálisan átalakult, és a támadók egyre inkább azokat a pontokat célozzák, ahol a legnagyobb hatás érhető el minimális erőforrással. A klasszikus endpoint-támadások helyett a hangsúly áttevődött a peremvédelmi és nyilvános szolgáltatásokra, különösen az alkalmazás-kiszolgálókra és hálózati eszközökre.
A támadási lánc elején egyértelmű dominancia figyelhető meg, az incidensek többségében a kezdeti hozzáférés publikus szolgáltatások sérülékenységeinek kihasználásával történik. Egyes időszakokban ez az arány meghaladta a 60%-ot, ami azt jelzi, hogy a patch management és az exposure kezelés kritikus védelmi tényezővé vált.
A ransomware továbbra is meghatározó fenyegetés, de a működési modell finomodott. A támadók gyakran pre-ransomware fázisban kerülnek észlelésre, ami azt mutatja, hogy a műveletek egyre inkább több lépcsőben zajlanak, kezdeti hozzáférés, laterális mozgás, adatgyűjtés, majd csak ezt követően titkosítás. Emellett új és meglévő csoportok folyamatosan adaptálják eszközeiket és TTP-iket.
A Talos külön kiemeli az identitásalapú támadások növekedését. A kompromittált, legitim fiókokból indított phishing kampányok egyre gyakoribbak, ami megkerüli a hagyományos perimeter védelmet, és trusted channel támadásokat eredményez.
Stratégiai szinten a jelentés egyik legfontosabb következtetése, hogy a támadók egyre inkább a stealth és egyszerűség kombinációjára építenek, nem feltétlenül új exploitokra, hanem meglévő sérülékenységek gyors kihasználására, legitim eszközök használatára és automatizációra. Ez a megközelítés gyorsabb, olcsóbb és nehezebben detektálható támadásokat tesz lehetővé.
A védekezés kulcsa már nem kizárólag a végpontok védelme, hanem a kitettség csökkentése, a gyors patch-elés, az identitásvédelem és a teljes támadási lánc folyamatos monitorozása.
