Sophos éves jelentés
A Sophos 2025-ös Active Adversary jelentése részletes képet ad a kiberfenyegetettségek aktuális mintázatairól, és éles különbségeket tár fel a menedzselt (Managed Detection and Response – MDR) és nem menedzselt (Incident Response – IR) környezetek közötti védekezési eredmények között. A riport kiemeli, hogy az aktív, proaktív biztonsági megfigyelés — amit az MDR ügyfelek esetén alkalmaznak — drámaian csökkenti a támadók észrevétlen jelenlétének időtartamát és hatékonyságát.
A jelentés egyik központi eleme a dwell time, vagyis az az időtartam, ameddig a támadó a rendszerben marad észrevétlenül. A 2024-es adatok alapján az összesített medián érték mindössze két nap volt, ami jelentős csökkenést jelent az előző évekhez képest. Ezen belül a nem menedzselt környezetekben (IR) az átlagos jelenléti idő hét nap, a zsarolóvírusos eseteknél négy nap, míg más típusú támadások esetén 11,5 nap. Ezzel szemben az MDR eseteknél a ransomware támadásoknál ez három napra csökkent, míg a többi támadástípus esetén mindössze egy nap volt.
További fontos megállapítás, hogy míg az IR adatokban továbbra is a ransomware dominál (65%), addig az MDR környezetben a hálózati behatolások (network breaches) már jóval gyakoribbak (56%), mint a zsarolóvírusos esetek (29%). Ez annak köszönhető, hogy az MDR ügyfeleknél a fenyegetéseket hamarabb észlelik, még mielőtt azok ransomware-be torkollanának.
A támadók által preferált módszerek között egyre gyakoribb a Living-off-the-Land Binaries (LOLBins) kihasználása, amely során a rendszerben eleve jelen lévő, legitim szoftveres komponenseket (például PowerShell vagy Windows Management Instrumentation) használják rosszindulatú műveletekre, hogy elkerüljék a detekciót. Ez a trend rávilágít arra, hogy az észlelésre szolgáló rendszereknek nem csak új fájlokat vagy folyamatokat, hanem a szokatlan viselkedésmintákat is figyelniük kell.
A kompromittált hitelesítő adatok továbbra is a támadások egyik fő belépési pontját jelentik. A többfaktoros hitelesítés (MFA) alkalmazása még mindig nem elterjedt eléggé, holott az MDR adatok alapján egyértelmű, hogy az MFA megléte jelentősen csökkenti a támadások sikerességi arányát.
A Sophos kutatói hangsúlyozzák, hogy az MDR rendszerekbe fektetett biztonsági beruházások konkrét és mérhető eredményeket hoznak. A támadások gyorsabb észlelése, a rövidebb jelenléti idő és a célzott védekezési stratégiák mind hozzájárulnak ahhoz, hogy a támadók kevesebb időt és mozgásteret kapjanak. Ezáltal csökken a károkozás mértéke és a helyreállítás költsége is.
A jelentés a valós esettanulmányokon alapuló tapasztalatokat nyíltan megosztja a szakmai közösséggel, és GitHubon keresztül hozzáférhetővé teszi a 2024-es nyers adatkészletet is, elősegítve a további kutatásokat és védelmi stratégiák fejlesztését. Ez a nyitottság hozzájárulhat a kollektív kiberellenállóképesség javításához nemcsak vállalati, hanem ágazati és nemzeti szinten is.
