„A passzív biztonság már nem elegendő. Bár a megelőzés elengedhetetlen, a gyors reagálás kritikus fontosságú. A szervezeteknek aktívan kell figyelniük a hálózatukat, és gyorsan kell cselekedniük az észlelt telemetriai adatok alapján. A motivált ellenfelek összehangolt támadásai összehangolt védelmet igényelnek. Sok szervezet számára ez azt jelenti, hogy az üzleti specifikus tudást szakértők által vezetett észleléssel és reagálással kell kombinálniuk. Jelentésünk megerősíti, hogy azok a szervezetek, amelyek proaktív monitorozást alkalmaznak, gyorsabban észlelik a támadásokat, és jobb eredményeket érnek el”
– mondta John Shier, Chief Information Security Officer (CISO).
A 2025-ös Sophos Active Adversary jelentése további kulcsfontosságú megállapításai:
- A támadók mindössze 11 óra alatt átvehetik az irányítást egy rendszer felett: ami átlagos időt jelenti a támadók első lépése és az Active Directory (AD) (a Windows-hálózatok egyik legfontosabb eleme) feletti rendelkezés megszerzése között.
- Az első (gyakran sikeres) feltörési kísérlete között csupán 11 óra volt. Ha a támadók sikerrel járnak, sokkal könnyebben átvehetik az irányítást a szervezet felett.
- A leggyakoribb zsarolóvírus-csoportok a Sophos eseteiben: 2024-ben az Akira volt a leggyakrabban észlelt zsarolóvírus-csoport, amelyet Fog és LockBit követett annak ellenére, hogy a hatóságok az év elején lekapcsolták a LockBit hálózatát.
- A tartózkodási idő (Dwell Time) mindössze 2 napra csökkent – Nagyrészt az MDR-nek köszönhetően: Összességében a tartózkodási idő – azaz a támadás kezdetétől annak észleléséig eltelt idő – 2024-ben 4 napról 2 napra csökkent, ami nagyrészt az MDR-esetek hozzáadásának köszönhető az adatbázishoz.
- Tartózkodási idő az IR esetekben: A tartózkodási idő stabil maradt a zsarolóvírusos támadásoknál 4 napon, míg a nem zsarolóvírusos eseteknél 11,5 napon.
- Tartózkodási idő az MDR esetekben: Az MDR-vizsgálatok során a tartózkodási idő mindössze 3 nap volt a zsarolóvírusos eseteknél, és csupán 1 nap a nem zsarolóvírusos eseteknél, ami arra utal, hogy az MDR csapatok gyorsabban képesek észlelni és reagálni a támadásokra
- A zsarolóvírus-csoportok éjjelenként dolgoznak: 2024-ben a zsarolóvírus-binaryk 84 százalékát a célpontok helyi munkaidőn kívül helyezték el.
- A Távoli Asztali Protokoll (RDP) továbbra is dominál: Az RDP az MDR/IR esetek 84 százalékában szerepelt, így ez a leggyakrabban kihasznált Microsoft eszköz.
