Ekspercka perspektywa
Odporność cybernetyczna

5 luk do zasypania w strategiach odporności cybernetycznej przedsiębiorstw

W 2024 roku pojedyncze konto bez uwierzytelniania wieloskładnikowego doprowadziło do upadku jednego z największe systemy opieki zdrowotnej w USA: zakłócenie funkcjonowania aptek, opóźnienia w opiece nad pacjentami oraz koszty rzędu $800 milionów.

Pomimo miliardów wydanych na narzędzia cyberbezpieczeństwa, organizacje nadal padają ofiarą oprogramowania ransomware, kradzieży danych i zakłóceń operacyjnych. Dlatego też skupiono się z czystej prewencji na odporności cybernetycznej.

Odporność cybernetyczna to zdolność do przygotowania się na ataki, wytrzymania ich, reagowania na nie i odradzania się po nich. Jednak nawet gdy odporność staje się priorytetem na szczeblu zarządu, w centrach danych nadal istnieją krytyczne luki. W tym artykule przyjrzymy się pięciu najczęstszym i najbardziej kosztownym lukom w odporności cybernetycznej oraz sposobom ich usunięcia, zanim znajdą się na pierwszych stronach gazet.

Czytaj dalej: Co to jest Odporność cybernetyczna? | Index Engines

SIEDZISKO CYBERNETYCZNE LUKA JEDNA

Słabe praktyki w zakresie bezpieczeństwa chmury i SaaS

Ataki na chmurę hybrydową wykorzystują skompromitowane dane uwierzytelniające do przemieszczania się między systemami chmurowymi a lokalnymi, podczas gdy słaba widoczność – zwłaszcza w odniesieniu do niemontowanych zasobów – pozwala atakującym działać niezauważonym przez miesiące. 

Platformy chmurowe i SaaS są obecnie siłą napędową nowoczesnych operacji biznesowych. Jednak dla wielu organizacji stanowią one również wrażliwy punkt ich strategii cyberodporności. Według jednego z badań, 83% organizacji doświadczył incydentu bezpieczeństwa związanego z chmurą w ciągu ostatniego roku, z 23% wynikających z błędów ludzkich i nieprawidłowych konfiguracji (SentinelOne).  

Niebezpieczeństwo hybrydowych ataków 

Tym, co czyni chmurę szczególnie niebezpieczną, jest hybrydowa natura dzisiejszych ataków. Atakujący wykorzystują skompromitowane dane uwierzytelniające do chmury, aby przemieszczać się między aplikacjami chmurowymi a systemami lokalnymi, wykorzystując pojedyncze logowanie (SSO) i tunele VPN do wtopienia się w otoczenie. Jedno skompromitowane logowanie SSO może działać jak klucz uniwersalny, otwierając dostęp do kilkudziesięciu połączonych systemów. 

Widoczność i pokrycie chmur 

Co gorsza, widoczność w chmurze jest nadal szokująco niska. Według innego raportu, ponad 32% zasobów w chmurze są nie monitorowane (SentinelOne). Nie powinno więc dziwić, że średni czas potrzebny na identyfikację i zneutralizowanie naruszenia wciąż utrzymuje się na oszałamiającym 241 dni. Przez osiem miesięcy atakujący może szpiegować, kraść i przygotowywać działania bez podnoszenia alarmu (IBM Raport Koszt naruszenia danych 2025). 

Jak zniwelować lukę

  • Zarządzanie Pozycją Bezpieczeństwa Chmury (CSPM)Automatyzuj audyty błędnie skonfigurowanych zasobników przechowywania, nieodpowiednich ról IAM i wyłączonego logowania. 
  • Zunifikowane monitorowanieAgreguj logi z AWS CloudTrail, Azure Monitor i podobnych narzędzi do centralnego systemu SIEM/XDR. 
  • Utwardzanie SSOTraktuj swój dostawca tożsamości jak krytyczną infrastrukturę. Wymuszaj MFA, ogranicz integracje i monitoruj anomalie. 
  • Testuj plany IR w chmurzeSymuluj incydenty, takie jak przejęcie konta i eksfiltracja danych z SharePoint, aby przygotować się na realne zagrożenia. 
CYBERNETYCZNA ODPORNOŚĆ LUKA DWA

Udostępnione wewnętrzne repozytoria danych

Nadmiernie udostępnione wewnętrzne udziały plików dają atakującym i osobom wewnętrznym łatwy dostęp do poufnych danych, co czyni kontrolę dostępu, monitorowanie i zarządzanie sekretami niezbędnymi do zmniejszenia ryzyka. 

W wielu organizacjach wewnętrzne udziały plików są z natury zaufane, ale działają jak cyfrowy Dziki Zachód. Poufne dane, takie jak rekordy klientów, własność intelektualna, dane uwierzytelniające i inne, znajdują się w rozległych folderach SharePoint i na dyskach sieciowych, do których ma dostęp zbyt wiele osób. 

Jedno badanie wykazało, że przeciętny pracownik ma dostęp 11 milionów plików. Następny ujawniony 17% plików wrażliwych są domyślnie dostępne dla wszystkich pracowników. Już w samym sektorze usług finansowych, 64% przedsiębiorstw miało miejsce wewnętrzne ujawnienie ponad 1000 poufnych plików (Varonis). 

Oczywiście, ryzyko związane z zagrożeniem wewnętrznym nie jest jedynym problemem. Atakujący, którzy przejmą pojedynczy punkt końcowy, mogą następnie swobodnie poruszać się po udostępnionych dyskach, aby znaleźć najcenniejsze zasoby, w tym arkusze kalkulacyjne z hasłami lub kluczami API, których nigdy tam nie powinno być i których inne mechanizmy kontroli dostępu nie są w stanie wyeliminować. 

Jak zasypać tę lukę

  • Klasyfikacja danychUżyj narzędzi automatycznych, aby odkryć, gdzie znajdują się poufne pliki w Twoim środowisku. 
  • Dostęp o najmniejszych uprawnieniachRestrukturyzuj uprawnienia, aby ograniczyć dostęp w oparciu o rolę stanowiska. Okresowo przeglądaj i czyść przestarzałe uprawnienia. 
  • Monitorowanie aktywności Wdróż narzędzia, które mogą powiadamiać o nietypowych wzorcach dostępu lub próbach przenoszenia poufnych plików. 
  • Zarządzanie sekretamiUsuń poświadczenia z udostępnionych plików i zaimplementuj scentralizowane, bezpieczne przechowywanie sekretów. 
  • Zero zaufania wewnętrznego: Wymagaj uwierzytelniania wieloskładnikowego (MFA) i weryfikacji urządzeń do dostępu do danych wewnętrznych, zwłaszcza dla użytkowników VPN lub zdalnych.
TRZY POZIOMY ODPORNOŚCI

Słabości zarządzania tożsamością i dostępem (IAM)

Słabe praktyki IAM – takie jak brak MFA, nadmierne uprawnienia i niezabezpieczony dostęp stron trzecich – ułatwiają atakującym logowanie się, przemieszczanie poziome i eskalację uprawnień bez wykrycia. 

Kiedy mówimy, że nieuczciwi aktorzy są dotarcie, rozchodzenie, tak naprawdę robią to, że logowanie. Cztery na pięć naruszeń dotyczy skompromitowanych danych uwierzytelniających (Rozmowa kwalifikacyjna w CrowdStrike, CSO Online. Pomimo tego standardowe środki ostrożności, takie jak MFA, nadal nie są konsekwentnie wdrażane. W rzeczywistości, 48% organizacji nie wymagają nawet włączenia uwierzytelniania wieloskładnikowego (MFA) do dostępu do krytycznych systemów wewnętrznychCohesity). 

Uprzywilejowane Kontrole Dostępu 

Dostęp uprzywilejowany stanowi szczególny problem. Konta gromadzą uprawnienia w czasie, a konta widma pozostają aktywne długo po odejściu pracowników. Jedno z badań wykazało 60% przedsiębiorstw miał ponad 500 kont z hasłami, które nigdy nie wygasają, w tym konta usług z podwyższonymi uprawnieniami (VaronisW połączeniu z brakiem MFA masz mieszankę wybuchową. 

Ryzyko stron trzecich i łańcucha dostaw 

Słabości w zakresie tożsamości i dostępu nie kończą się również na obrzeżach organizacji. Dostęp stron trzecich i łańcucha dostaw jest często przyznawany bez tej samej rygorystyczności wewnętrznej – bez MFA, bez dostępu warunkowego i z ograniczonym nadzorem. Nic dziwnego, że ataki na łańcuch dostaw są coraz częstsze. 400%+ od 2021ubezpieczenia biz nesmag com). Te zewnętrzne tożsamości stają się łatwymi punktami wejścia dla atakujących, umożliwiając ruch boczny lub eskalację uprawnień. Jednak tylko 45% organizacji integruje ryzyko zewnętrzne z planami reagowania na incydenty i ciągłości działania (Accenture. Dopóki Twoja strategia IAM zatrzymuje się na zaporze sieciowej, jest ona niekompletna. 

Jak zasypać tę lukę

  • Wymuszaj MFA wszędzieNadaj priorytet metodom odpornym na phishing, takim jak klucze FIDO2 lub monity oparte na urządzeniu. 
  • Zarządzanie Dostępem Uprzywilejowanym (PAM)Ogranicz stały dostęp administracyjny i korzystaj z podnoszenia uprawnień w czasie rzeczywistym z pełnymi ścieżkami audytu. 
  • Higiena tożsamościRegularnie przeprowadzaj przeglądy dostępu użytkowników w celu identyfikacji nieaktywnych kont lub niepotrzebnych uprawnień. Rotuj dane uwierzytelniające i egzekwuj silne zasady dotyczące haseł. 
  • Tożsamość Zero TrustUżywaj polityk dostępu warunkowego opartych na zachowaniu użytkownika, lokalizacji i kondycji urządzenia. 
  • Rozszerz kontrolę IAM dla stron trzecichZastosuj te same zasady dostępu do dostawców, kontrahentów i partnerów w łańcuchu dostaw, zwłaszcza tych z podwyższonymi uprawnieniami lub stałym dostępem. 
  • Weryfikacja dostawcyWymagaj od kluczowych dostawców certyfikatów SOC 2, ISO 27001 lub równoważnych. Przeglądaj ich praktyki bezpieczeństwa co roku. 
  • Posiadaj plan awaryjnyA co jeśli dostawca SSO ulegnie awarii? A jeśli Twoje chmurowe CRM zostanie naruszone? Upewnij się, że możesz przejść na inne rozwiązanie. 
LUKA ODPORNOŚCI CZTERY

Niemożność weryfikacji integralności danych przed odzyskaniem

Bez dogłębnej weryfikacji treści organizacje ryzykują przywrócenie uszkodzonych kopii zapasowych lub migawek po ataku ransomware – co sprawia, że weryfikacja integralności oparta na sztucznej inteligencji jest niezbędna do bezpiecznego odzyskiwania danych. 

Kiedy zostaniesz zaatakowany przez ransomware, będziesz chciał przywrócić dane z ostatniej znanej czystej kopii zapasowej lub migawki. Oczywiście, w tym tkwi cały problem, prawda? Jak można wiedzieć które jest Twoje ostatnie czyste kopia zapasowa lub migawka? 

Ta odpowiedź zależy od twojej zdolności do zweryfikowania integralność twoich danych. 

Gdzie narzędzia dziedziczone nie sprawdzają się 

Zamiast głębokiej walidacji, wiele tradycyjnych narzędzi polega na powierzchownych kontrolach pod kątem ransomware, takich jak skanowanie metadanych, wykrywanie anomalii czy dopasowywanie sygnatur. Niestety, dzisiejsze ransomware wie, że polegasz na tych podstawowych wskaźnikach. Nowoczesne warianty są projektowane tak, aby omijać te metody wykrywania przy użyciu Szyfrowanie cieni, maskowanie nagłówków, polimorficzny kod i inne techniki zapobiegające wyzwalaniu tradycyjnych wskaźników kompromitacji. 

Odtwarzalność zależy od integralności danych 

Oczywiście, jeśli nie można z całą pewnością zweryfikować integralności danych w kopiach zapasowych lub migawkach, nie można ich również z całą pewnością przywrócić. Bez analizy samej treści danych nie ma realnego sposobu, by stwierdzić, czy dane są nienaruszone, czy też uległy subtelnemu uszkodzeniu. Próba przywrócenia danych bez tej pewności prowadzi do ponownego zainfekowania i przedłużających się przestojów. Organizacje muszą mieć możliwość weryfikacji integralności danych kopii zapasowych lub migawek z dużą dokładnością, a nie tylko zdolność do wykrywania zagrożeń.

Jak zasypać tę lukę 

  • Walidacja na poziomie treści: Używaj narzędzi do walidacji kopii zapasowych lub migawek, które analizują faktyczną zawartość plików i baz danych, a nie tylko metadane lub entropię plików. 
  • Wykrywanie oparte na sztucznej inteligencjiZaadoptuj Narzędzia AI wytrenowane specjalnie na rzeczywistych danych ransomware zachowania służące do wykrywania zaawansowanych, trudnych do zidentyfikowania technik ataku. 
  • Pamięć niezmiennaPrzechowuj kopie zapasowe w formatach takich jak WORM lub w opcjach chmurowych z niezmiennością, z którymi złośliwe oprogramowanie nie może się manipulować.
  • Zweryfikowane Punkty PrzywracaniaUpewnij się, że punkty odzyskiwania zostały wstępnie przeskanowane i zweryfikowane jako wolne od zagrożeń na poziomie zawartości.

Czytaj dalej:Jak CyberSense wykorzystuje SI do weryfikacji integralności danych i wspierania odzyskiwania 

ROZPORZĄDZENIE DS. ODPORNOŚCI PIĘĆ

Niespójne pokrycie krytycznych danych i systemów

Wiele organizacji pomija krytyczne systemy i dane w swoich planach awaryjnych, pozostawiając "ślepe punkty", które mogą udaremnić działania ratownicze, a bardzo niewiele z nich czuje się pewnie, że mogłoby odzyskać wszystkie swoje kluczowe dane.  

Według ostatnich badań z theCube Research, tylko 4% organizacji stwierdzili, że są w stanie zapewnić czystą, nadającą się do odtworzenia kopię danych dla ponad 90% swoich aplikacji o znaczeniu krytycznym. To daje do myślenia. 

Co utrudnia odzyskiwanie krytycznych danych? 

Chociaż prawdopodobnie nie ma jednej przyczyny, w rozmowach z klientami często widać niekonsekwentne środki odporności stosowane w systemach krytycznych i zbiorach danych. Z jednej strony, w miarę rozwoju organizacji, pewne kluczowe systemy otrzymują dojrzałe, dobrze przetestowane kopie zapasowe i odzyskiwanie danych. Z drugiej strony, nowsze lub szybko wdrażane platformy mogą zostać pominięte, niewłaściwie ocenione, niedoszacowane budżetowo lub po prostu pominięte z innych powodów.  

Te martwe punkty zazwyczaj wynikają z izolowanego lub pośpiesznego planowania, niejasnego podziału odpowiedzialności lub przestarzałych założeń dotyczących tego, co jest “krytyczne dla misji”.” 

Co to oznacza dla organizacji 

To, co zaczyna się od drobnego przeoczenia, z czasem narasta. Aplikacja departamentalna, zapomniany udział sieciowy lub rzadko używana usługa SaaS mogą przechowywać dane kluczowe dla firmy, a mimo to zostać pominięte w regularnych procesach walidacji lub odzyskiwania. Kiedy dochodzi do ataku, organizacje szybko zdają sobie sprawę, że tak naprawdę nie wiedzą, jak duża część ich kluczowych danych jest faktycznie możliwa do odzyskania. 

Jest to często problem strategiczny, a nie techniczny. Jeśli organizacje nie mapują, nie chronią i nie weryfikują w pełni swoich najważniejszych zasobów, faktycznie akceptują częściowe odzyskanie jako swoją domyślną postawę. Mówiąc prościej, wypełnienie tej luki oznacza wyjście poza formalistyczne podejście do odporności i szczere podejście do kwestii gotowości do przywrócenia sprawności. To właśnie pozwala znaleźć się w gronie organizacji 4%, które są przygotowane do reagowania na cyberataki, przywracania sprawności po nich oraz minimalizowania ich skutków. 

Jak zasypać tę lukę 

  • Analiza wpływu działalności gospodarczej: Rethinkuj, co uznajesz za krytyczne. Nie przeocz repozytoriów plików udostępnionych, systemów CRM opartych na chmurze ani innych punktów końcowych z kluczowymi plikami. 
  • Stosuj spójność dla systemów krytycznychGdy już określisz, co jest krytyczne, upewnij się, że jest ono konsekwentnie tworzone kopie zapasowe, skanowane pod kątem integralności danych i uwzględnione w planowaniu odzyskiwania.  
  • Ustal cele dotyczące odzyskiwania danychZdefiniuj Cele czasu odzyskania (RTO) i Cele punktu odzyskiwania (RPO) dla każdej aplikacji i upewnij się, że Twoje plany tworzenia kopii zapasowych i odzyskiwania po awarii są spójne. 
  • Validate Recovery Outcomes: Test not only whether backups exist but whether they can be restored completely and cleanly. 
BONUS

Weak Incident Response Planning & Testing

Without a tested incident response plan, organizations face costly delays and confusion during cyberattacks—yet most still lack formal IR strategies, despite proven savings of $2.66M per breach.  

A quote often repeated in military circles says it best: We don’t rise to the level of our expectations, we fall to the level of our training.  

Yet in the battle against cybercriminals, 77% of organizations don’t have a formal, consistently applied incident response (IR) plan (Cybint Report, Varonis). Lack of coordination across IT, security, C-suite, PR, and legal creates delays, confusion, and finger-pointing. It’s no wonder 69% of ransomware victims end up paying the ransom, despite policies against it (Cohesity).  

On the other hand, organizations with dedicated IR teams and regularly tested response plans saved on average $2.66 million per breach compared to those without similar preparation (IBM Cost of a Data Breach Report 2023). 

Jak zasypać tę lukę 

  • Build a Real IR Plan: Define roles, escalation paths, playbooks, and cross-functional coordination points. 
  • Include Third Parties: Your vendors, cloud providers, and partners must be part of your IR thinking. 
  • Drill Frequently: Conduct tabletop and live-fire exercises to test muscle memory and expose blind spots. 
  • Share Knowledge & Tools: Make sure all team members are trained, have the right tools, and access to decision makers. 
  • Learn and Evolve: Do a post-mortem after every incident and drill. Use what you learn to update your playbooks. 
BONUS

Emerging AI Threats and Shadow AI Use

Unvetted AI tools and careless data sharing are exposing sensitive information, while attackers weaponize AI to craft smarter threats—making AI governance and properly trained defensive AI essential. 

Generative AI is both a powerful productivity tool and a growing security risk. Employees are pasting sensitive data into AI tools. Attackers are using AI to write malware, craft hyper-personalized phishing, and even manipulate internal AI models with poisoned data. 

The result is everyone is vulnerable. In 2025, 99% of orgs had sensitive data exposed in ways AI tools could discover. And 98% had unvetted AI tools in use somewhere in the org (Varonis).  

Jak zasypać tę lukę 

  • Create an AI Usage Policy: Set clear rules on what data can be shared with AI tools and which tools are approved. 
  • Inventory and Monitor Shadow AI: Discover and manage unapproved AI tools in use across departments. 
  • Secure Your AI Models: If you build internal AI, protect training data and APIs from tampering. 
  • Train for Deepfakes & AI Phishing: Update awareness programs to address AI-generated threats. 
  • Use AI Defensively: Deploy AI-enhanced data integrity analysis, anomaly detection, and recovery planning to keep up with evolving threats. 

Read More: Inside the CyberSense Research Lab’s Patented Process to Combat AI with AI 

Final Thoughts

Cybersecurity priorities are often clouded by urgency, noise, and shifting threats. But the gaps outlined here reflect consistent places where nearly every organization can benefit from renewed focus. Use them to bring teams into alignment and prioritize what truly drives cyber resiliency.

No strategy will ever be flawless, but the best ones are adaptable. Cyber resiliency comes from clarity, consistency, and partnerships that grow with you. Choose tools and vendors who are committed to evolving alongside your business.

Fortify Your Resilience with Index Engines CyberSense 

We work with security and infrastructure teams every day to help build their cyber resiliency strategies. Our flagship product, CyberSense, helps organizations recover from ransomware quickly and confidently by ensuring trusted data integrity with 99.99% accuracy —so you can identify clean recovery points, restore clean data, and minimize the impact of a cyberattack. CyberSense is purpose-built to fill the exact gap that traditional recovery methods overlook. 


bottom
CyberSense Video
w górę