W 2024 roku pojedyncze konto bez uwierzytelniania wieloskładnikowego doprowadziło do upadku jednego z największe systemy opieki zdrowotnej w USA: zakłócenie funkcjonowania aptek, opóźnienia w opiece nad pacjentami oraz koszty rzędu $800 milionów.
Pomimo miliardów wydanych na narzędzia cyberbezpieczeństwa, organizacje nadal padają ofiarą oprogramowania ransomware, kradzieży danych i zakłóceń operacyjnych. Dlatego też skupiono się z czystej prewencji na odporności cybernetycznej.
Odporność cybernetyczna to zdolność do przygotowania się na ataki, wytrzymania ich, reagowania na nie i odradzania się po nich. Jednak nawet gdy odporność staje się priorytetem na szczeblu zarządu, w centrach danych nadal istnieją krytyczne luki. W tym artykule przyjrzymy się pięciu najczęstszym i najbardziej kosztownym lukom w odporności cybernetycznej oraz sposobom ich usunięcia, zanim znajdą się na pierwszych stronach gazet.
Czytaj dalej: Co to jest Odporność cybernetyczna? | Index Engines
Ataki na chmurę hybrydową wykorzystują skompromitowane dane uwierzytelniające do przemieszczania się między systemami chmurowymi a lokalnymi, podczas gdy słaba widoczność – zwłaszcza w odniesieniu do niemontowanych zasobów – pozwala atakującym działać niezauważonym przez miesiące.
Platformy chmurowe i SaaS są obecnie siłą napędową nowoczesnych operacji biznesowych. Jednak dla wielu organizacji stanowią one również wrażliwy punkt ich strategii cyberodporności. Według jednego z badań, 83% organizacji doświadczył incydentu bezpieczeństwa związanego z chmurą w ciągu ostatniego roku, z 23% wynikających z błędów ludzkich i nieprawidłowych konfiguracji (SentinelOne).
Tym, co czyni chmurę szczególnie niebezpieczną, jest hybrydowa natura dzisiejszych ataków. Atakujący wykorzystują skompromitowane dane uwierzytelniające do chmury, aby przemieszczać się między aplikacjami chmurowymi a systemami lokalnymi, wykorzystując pojedyncze logowanie (SSO) i tunele VPN do wtopienia się w otoczenie. Jedno skompromitowane logowanie SSO może działać jak klucz uniwersalny, otwierając dostęp do kilkudziesięciu połączonych systemów.
Co gorsza, widoczność w chmurze jest nadal szokująco niska. Według innego raportu, ponad 32% zasobów w chmurze są nie monitorowane (SentinelOne). Nie powinno więc dziwić, że średni czas potrzebny na identyfikację i zneutralizowanie naruszenia wciąż utrzymuje się na oszałamiającym 241 dni. Przez osiem miesięcy atakujący może szpiegować, kraść i przygotowywać działania bez podnoszenia alarmu (IBM Raport Koszt naruszenia danych 2025).
Nadmiernie udostępnione wewnętrzne udziały plików dają atakującym i osobom wewnętrznym łatwy dostęp do poufnych danych, co czyni kontrolę dostępu, monitorowanie i zarządzanie sekretami niezbędnymi do zmniejszenia ryzyka.
W wielu organizacjach wewnętrzne udziały plików są z natury zaufane, ale działają jak cyfrowy Dziki Zachód. Poufne dane, takie jak rekordy klientów, własność intelektualna, dane uwierzytelniające i inne, znajdują się w rozległych folderach SharePoint i na dyskach sieciowych, do których ma dostęp zbyt wiele osób.
Jedno badanie wykazało, że przeciętny pracownik ma dostęp 11 milionów plików. Następny ujawniony 17% plików wrażliwych są domyślnie dostępne dla wszystkich pracowników. Już w samym sektorze usług finansowych, 64% przedsiębiorstw miało miejsce wewnętrzne ujawnienie ponad 1000 poufnych plików (Varonis).
Oczywiście, ryzyko związane z zagrożeniem wewnętrznym nie jest jedynym problemem. Atakujący, którzy przejmą pojedynczy punkt końcowy, mogą następnie swobodnie poruszać się po udostępnionych dyskach, aby znaleźć najcenniejsze zasoby, w tym arkusze kalkulacyjne z hasłami lub kluczami API, których nigdy tam nie powinno być i których inne mechanizmy kontroli dostępu nie są w stanie wyeliminować.
Słabe praktyki IAM – takie jak brak MFA, nadmierne uprawnienia i niezabezpieczony dostęp stron trzecich – ułatwiają atakującym logowanie się, przemieszczanie poziome i eskalację uprawnień bez wykrycia.
Kiedy mówimy, że nieuczciwi aktorzy są dotarcie, rozchodzenie, tak naprawdę robią to, że logowanie. Cztery na pięć naruszeń dotyczy skompromitowanych danych uwierzytelniających (Rozmowa kwalifikacyjna w CrowdStrike, CSO Online. Pomimo tego standardowe środki ostrożności, takie jak MFA, nadal nie są konsekwentnie wdrażane. W rzeczywistości, 48% organizacji nie wymagają nawet włączenia uwierzytelniania wieloskładnikowego (MFA) do dostępu do krytycznych systemów wewnętrznychCohesity).
Dostęp uprzywilejowany stanowi szczególny problem. Konta gromadzą uprawnienia w czasie, a konta widma pozostają aktywne długo po odejściu pracowników. Jedno z badań wykazało 60% przedsiębiorstw miał ponad 500 kont z hasłami, które nigdy nie wygasają, w tym konta usług z podwyższonymi uprawnieniami (VaronisW połączeniu z brakiem MFA masz mieszankę wybuchową.
Słabości w zakresie tożsamości i dostępu nie kończą się również na obrzeżach organizacji. Dostęp stron trzecich i łańcucha dostaw jest często przyznawany bez tej samej rygorystyczności wewnętrznej – bez MFA, bez dostępu warunkowego i z ograniczonym nadzorem. Nic dziwnego, że ataki na łańcuch dostaw są coraz częstsze. 400%+ od 2021ubezpieczenia biz nesmag com). Te zewnętrzne tożsamości stają się łatwymi punktami wejścia dla atakujących, umożliwiając ruch boczny lub eskalację uprawnień. Jednak tylko 45% organizacji integruje ryzyko zewnętrzne z planami reagowania na incydenty i ciągłości działania (Accenture. Dopóki Twoja strategia IAM zatrzymuje się na zaporze sieciowej, jest ona niekompletna.
Bez dogłębnej weryfikacji treści organizacje ryzykują przywrócenie uszkodzonych kopii zapasowych lub migawek po ataku ransomware – co sprawia, że weryfikacja integralności oparta na sztucznej inteligencji jest niezbędna do bezpiecznego odzyskiwania danych.
Kiedy zostaniesz zaatakowany przez ransomware, będziesz chciał przywrócić dane z ostatniej znanej czystej kopii zapasowej lub migawki. Oczywiście, w tym tkwi cały problem, prawda? Jak można wiedzieć które jest Twoje ostatnie czyste kopia zapasowa lub migawka?
Ta odpowiedź zależy od twojej zdolności do zweryfikowania integralność twoich danych.
Zamiast głębokiej walidacji, wiele tradycyjnych narzędzi polega na powierzchownych kontrolach pod kątem ransomware, takich jak skanowanie metadanych, wykrywanie anomalii czy dopasowywanie sygnatur. Niestety, dzisiejsze ransomware wie, że polegasz na tych podstawowych wskaźnikach. Nowoczesne warianty są projektowane tak, aby omijać te metody wykrywania przy użyciu Szyfrowanie cieni, maskowanie nagłówków, polimorficzny kod i inne techniki zapobiegające wyzwalaniu tradycyjnych wskaźników kompromitacji.
Oczywiście, jeśli nie można z całą pewnością zweryfikować integralności danych w kopiach zapasowych lub migawkach, nie można ich również z całą pewnością przywrócić. Bez analizy samej treści danych nie ma realnego sposobu, by stwierdzić, czy dane są nienaruszone, czy też uległy subtelnemu uszkodzeniu. Próba przywrócenia danych bez tej pewności prowadzi do ponownego zainfekowania i przedłużających się przestojów. Organizacje muszą mieć możliwość weryfikacji integralności danych kopii zapasowych lub migawek z dużą dokładnością, a nie tylko zdolność do wykrywania zagrożeń.
Czytaj dalej: Jak CyberSense wykorzystuje SI do weryfikacji integralności danych i wspierania odzyskiwania
Wiele organizacji pomija krytyczne systemy i dane w swoich planach awaryjnych, pozostawiając "ślepe punkty", które mogą udaremnić działania ratownicze, a bardzo niewiele z nich czuje się pewnie, że mogłoby odzyskać wszystkie swoje kluczowe dane.
Według ostatnich badań z theCube Research, tylko 4% organizacji stwierdzili, że są w stanie zapewnić czystą, nadającą się do odtworzenia kopię danych dla ponad 90% swoich aplikacji o znaczeniu krytycznym. To daje do myślenia.
Chociaż prawdopodobnie nie ma jednej przyczyny, w rozmowach z klientami często widać niekonsekwentne środki odporności stosowane w systemach krytycznych i zbiorach danych. Z jednej strony, w miarę rozwoju organizacji, pewne kluczowe systemy otrzymują dojrzałe, dobrze przetestowane kopie zapasowe i odzyskiwanie danych. Z drugiej strony, nowsze lub szybko wdrażane platformy mogą zostać pominięte, niewłaściwie ocenione, niedoszacowane budżetowo lub po prostu pominięte z innych powodów.
Te martwe punkty zazwyczaj wynikają z izolowanego lub pośpiesznego planowania, niejasnego podziału odpowiedzialności lub przestarzałych założeń dotyczących tego, co jest “krytyczne dla misji”.”
To, co zaczyna się od drobnego przeoczenia, z czasem narasta. Aplikacja departamentalna, zapomniany udział sieciowy lub rzadko używana usługa SaaS mogą przechowywać dane kluczowe dla firmy, a mimo to zostać pominięte w regularnych procesach walidacji lub odzyskiwania. Kiedy dochodzi do ataku, organizacje szybko zdają sobie sprawę, że tak naprawdę nie wiedzą, jak duża część ich kluczowych danych jest faktycznie możliwa do odzyskania.
Jest to często problem strategiczny, a nie techniczny. Jeśli organizacje nie mapują, nie chronią i nie weryfikują w pełni swoich najważniejszych zasobów, faktycznie akceptują częściowe odzyskanie jako swoją domyślną postawę. Mówiąc prościej, wypełnienie tej luki oznacza wyjście poza formalistyczne podejście do odporności i szczere podejście do kwestii gotowości do przywrócenia sprawności. To właśnie pozwala znaleźć się w gronie organizacji 4%, które są przygotowane do reagowania na cyberataki, przywracania sprawności po nich oraz minimalizowania ich skutków.
Without a tested incident response plan, organizations face costly delays and confusion during cyberattacks—yet most still lack formal IR strategies, despite proven savings of $2.66M per breach.
A quote often repeated in military circles says it best: We don’t rise to the level of our expectations, we fall to the level of our training.
Yet in the battle against cybercriminals, 77% of organizations don’t have a formal, consistently applied incident response (IR) plan (Cybint Report, Varonis). Lack of coordination across IT, security, C-suite, PR, and legal creates delays, confusion, and finger-pointing. It’s no wonder 69% of ransomware victims end up paying the ransom, despite policies against it (Cohesity).
On the other hand, organizations with dedicated IR teams and regularly tested response plans saved on average $2.66 million per breach compared to those without similar preparation (IBM Cost of a Data Breach Report 2023).
Unvetted AI tools and careless data sharing are exposing sensitive information, while attackers weaponize AI to craft smarter threats—making AI governance and properly trained defensive AI essential.
Generative AI is both a powerful productivity tool and a growing security risk. Employees are pasting sensitive data into AI tools. Attackers are using AI to write malware, craft hyper-personalized phishing, and even manipulate internal AI models with poisoned data.
The result is everyone is vulnerable. In 2025, 99% of orgs had sensitive data exposed in ways AI tools could discover. And 98% had unvetted AI tools in use somewhere in the org (Varonis).
Read More: Inside the CyberSense Research Lab’s Patented Process to Combat AI with AI
Cybersecurity priorities are often clouded by urgency, noise, and shifting threats. But the gaps outlined here reflect consistent places where nearly every organization can benefit from renewed focus. Use them to bring teams into alignment and prioritize what truly drives cyber resiliency.
No strategy will ever be flawless, but the best ones are adaptable. Cyber resiliency comes from clarity, consistency, and partnerships that grow with you. Choose tools and vendors who are committed to evolving alongside your business.
We work with security and infrastructure teams every day to help build their cyber resiliency strategies. Our flagship product, CyberSense, helps organizations recover from ransomware quickly and confidently by ensuring trusted data integrity with 99.99% accuracy —so you can identify clean recovery points, restore clean data, and minimize the impact of a cyberattack. CyberSense is purpose-built to fill the exact gap that traditional recovery methods overlook.
w górę