Google Cloud Threat Horizons Report H1 2026

Editors' Pick

A Google Cloud Threat Horizons Report H1 2026 szerint a felhőalapú támadásokban alapvető változás történt, első alkalommal a szoftversérülékenységek kihasználása megelőzte az ellopott vagy gyenge hitelesítő adatokat mint kezdeti behatolási módszer. A Google incidenselemzéseiben a harmadik féltől származó szoftverek sérülékenységeinek kihasználása az esetek 44,5%-át tette ki, míg a hitelesítő adatok kompromittálása 38,4%-racsökkent. A kutatók szerint ennek fő oka, hogy a támadók egyre gyorsabban képesek automatizálni a frissen nyilvánosságra hozott hibák kihasználását, miközben a szervezetek javítási ciklusa ezt nem követi. A jelentés több példát is említ – köztük a React2Shell (CVE-2025-43859) sérülékenységet –, ahol a tömeges kihasználás néhány napon belül, kriptobányász kampányok esetén pedig 48 órán belül megkezdődött a javítások megjelenése után. 

A második meghatározó trend az identitásalapú támadások átalakulása. A Google szerint a támadók egyre ritkábban telepítenek hagyományos malware-t, helyette legitim felhőszolgáltatásokat, API-kat és identitáskezelő rendszerekethasználnak. Gyakori a többtényezős hitelesítés megkerülése, a munkamenet-tokenek eltulajdonítása, az OAuth-alkalmazásokkal való visszaélés, valamint a szolgáltatásfiókok és API-kulcsok kompromittálása. A felhőkörnyezetekben az identitás lett az elsődleges védelmi határ, ezért a klasszikus hálózati peremvédelem önmagában már nem elegendő. 

A Google külön foglalkozik a harmadik félhez kapcsolódó kockázatokkal is. A vizsgált incidensek jelentős részében nem maga a felhőszolgáltató, hanem egy külső komponens – például CI/CD-eszköz, nyílt forráskódú csomag, SaaS-integráció vagy identitásszolgáltató – jelentette a támadási felületet. A támadók egyre inkább a szoftverellátási láncleggyengébb pontjait keresik, és azokon keresztül jutnak el a felhőkörnyezetekhez. Emiatt a szervezeteknek nemcsak saját rendszereiket, hanem beszállítóik és integrációik biztonsági állapotát is folyamatosan értékelniük kell. 

A mesterséges intelligencia jelenleg elsősorban gyorsító tényező, nem pedig önálló támadó. Az AI jelentősen lerövidíti a sérülékenységek elemzésének idejét, javítja az adathalász kampányok minőségét, automatizálja a kódírást és a támadási láncok összeállítását, de a Google nem lát bizonyítékot arra, hogy teljesen autonóm AI-rendszerek hajtanának végre összetett behatolásokat. Sokkal valószínűbbnek tartják a human-in-the-loop modellt, ahol az AI felgyorsítja az emberi operátor munkáját. 

A Google ennek megfelelően négy stratégiai prioritást javasol. Az első a javítási idő radikális csökkentése, mivel a kihasználási időablak ma már napokban mérhető. A második az Identity-First biztonsági modell alkalmazása, amely az MFA mellett feltételes hozzáférést, rövid élettartamú hitelesítő adatokat és minimális jogosultságokat alkalmaz. Harmadikként a forensic readiness kerül előtérbe, a szervezeteknek úgy kell kialakítaniuk naplózási, megőrzési és incidensvizsgálati folyamataikat, hogy egy kompromittálás után gyorsan rekonstruálható legyen a támadás. Végül a Google hangsúlyozza a harmadik felek és a szoftverellátási lánc folyamatos felügyeletét, mivel ezek mára a felhőalapú incidensek egyik legfontosabb belépési pontjává váltak. 

FORRÁS