Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Raport M-Trends 2026 pokazuje istotną zmianę w modelu działania współczesnych cyberprzestępców. Czas między uzyskaniem początkowego dostępu do środowiska ofiary a przekazaniem go kolejnemu podmiotowi atakującemu spadł do zaledwie 22 sekund, co wskazuje na bardzo wysoki poziom automatyzacji, specjalizacji i koordynacji w przestępczym łańcuchu dostaw ataku.
Dla organizacji oznacza to, że klasyczne podejście oparte wyłącznie na ręcznej analizie i sekwencyjnym reagowaniu staje się niewystarczające. Okno czasowe na przerwanie ataku jest dziś znacznie krótsze niż jeszcze kilka lat temu.
W skrócie
- Mediana czasu przekazania dostępu po initial access wyniosła 22 sekundy.
- W 2022 roku analogiczny czas przekraczał 8 godzin.
- Najczęstszym wektorem wejścia były exploity, odpowiadające za 32% przypadków.
- Mediana dwell time wyniosła 14 dni.
- 52% naruszeń zostało wykrytych wewnętrznie.
- Wśród najczęściej nadużywanych podatności znalazły się luki w SAP NetWeaver, Oracle EBS i SharePoint.
- W środowiskach chmurowych dominującym wektorem początkowym stał się vishing.
Kontekst / historia
Ekosystem cyberprzestępczy od lat rozwija się w kierunku specjalizacji. Jedne grupy zajmują się zdobywaniem dostępu początkowego, inne jego sprzedażą lub przekazaniem, a kolejne odpowiadają za eksfiltrację danych, szantaż albo wdrożenie ransomware. Taki podział ról zwiększa skalę operacji i obniża próg wejścia dla kolejnych aktorów.
Dane z raportu M-Trends 2026 sugerują, że ten model osiągnął nowy poziom dojrzałości. Skrócenie czasu przekazania dostępu z wielu godzin do sekund wskazuje, że w wielu przypadkach współpraca między podmiotami jest już z góry ustalona lub wręcz zautomatyzowana. Zamiast oczekiwania na kolejne etapy monetyzacji, atak może rozwijać się niemal natychmiast po skutecznej kompromitacji.
Raport oparto na danych wywiadowczych oraz ponad 500 tysiącach godzin prac śledczych i reagowania na incydenty prowadzonych przez zespoły Mandiant w 2025 roku. Dzięki temu publikacja stanowi przekrojowy obraz realnych naruszeń obserwowanych w środowiskach produkcyjnych.
Analiza techniczna
Najważniejszy wniosek techniczny dotyczy tempa przejścia między uzyskaniem initial access a kolejną fazą operacji. Mediana 22 sekund oznacza, że po udanej kompromitacji napastnicy mogą niemal od razu uruchamiać dodatkowe skrypty, loadery, implanty lub narzędzia do eskalacji uprawnień i ruchu bocznego. W praktyce eliminuje to dawny bufor czasowy, który dawał zespołom bezpieczeństwa szansę na reakcję przed rozwinięciem pełnego łańcucha ataku.
Najczęściej obserwowanym wektorem wejścia były exploity, odpowiadające za 32% przypadków. Za nimi uplasowały się phishing, wcześniejsza kompromitacja oraz skradzione poświadczenia. Spadek znaczenia klasycznego phishingu e-mail wskazuje, że atakujący coraz chętniej wykorzystują aktywnie nadużywane podatności i alternatywne techniki przejęcia dostępu.
Wśród najczęściej wykorzystywanych podatności raport wymienia luki w SAP NetWeaver, Oracle EBS oraz SharePoint. Dobór tych celów nie jest przypadkowy, ponieważ są to platformy o wysokiej wartości biznesowej, często zintegrowane z kluczowymi procesami organizacji. Ich kompromitacja może szybko przełożyć się na dostęp do wrażliwych danych, kont uprzywilejowanych i systemów krytycznych.
Mediana czasu obecności atakującego w środowisku przed wykryciem wyniosła 14 dni. To pokazuje, że mimo skrócenia czasu przekazania dostępu organizacje nadal mają problem z dostrzeganiem przeciwnika już po uzyskaniu przyczółka. Raport zwraca także uwagę na incydenty pozostające niewykryte przez wiele tygodni lub miesięcy, co może wiązać się z aktywnością grup szpiegowskich oraz działań prowadzonych w sposób maksymalnie dyskretny.
W środowiskach chmurowych szczególnie widoczny jest wzrost znaczenia vishingu. Atakujący częściej wykorzystują słabości procesów związanych z tożsamością, resetem haseł i obsługą kont niż same podatności techniczne. To ważny sygnał, że bezpieczeństwo chmury nie może ograniczać się wyłącznie do konfiguracji usług i łatania błędów.
Konsekwencje / ryzyko
Dla organizacji najważniejszą konsekwencją jest drastyczne skrócenie czasu potrzebnego do zatrzymania ataku. Jeżeli przekazanie dostępu następuje w kilkadziesiąt sekund, ręczne procedury SOC mogą okazać się po prostu zbyt wolne. Obrona musi więc opierać się na automatyzacji detekcji, korelacji zdarzeń i odpowiedzi.
Rosnąca dominacja exploitów zwiększa ryzyko dla firm, które mają opóźniony patch management, szczególnie w przypadku systemów dostępnych z internetu i aplikacji o krytycznym znaczeniu biznesowym. Jednocześnie obecność skradzionych poświadczeń i vishingu pokazuje, że nawet dobrze aktualizowane środowisko pozostaje podatne bez silnej ochrony tożsamości.
Istotne znaczenie ma również skala kradzieży danych. Nawet jeśli incydent nie kończy się szyfrowaniem systemów, skutkiem może być naruszenie poufności, szantaż, utrata przewagi konkurencyjnej oraz konsekwencje regulacyjne i reputacyjne. Szczególnie zagrożone pozostają sektory high-tech, finansowy, usług biznesowych i ochrony zdrowia.
Rekomendacje
Organizacje powinny przyjąć założenie, że uzyskanie initial access może zostać natychmiast wykorzystane do dalszych działań ofensywnych. Oznacza to potrzebę skrócenia czasu od detekcji do izolacji zasobu oraz automatyzacji reakcji na incydenty wysokiego ryzyka.
- Priorytetyzować poprawki dla aktywnie wykorzystywanych podatności, zwłaszcza w systemach internet-facing.
- Wzmacniać ochronę tożsamości przez wdrożenie MFA odpornego na phishing i ograniczanie kont uprzywilejowanych.
- Monitorować anomalie logowania oraz szybko rotować poświadczenia po wykryciu incydentu.
- Rozwijać detekcję behawioralną dla działań następujących bezpośrednio po uzyskaniu dostępu.
- Wdrażać automatyczne playbooki izolacji hostów i blokowania kont.
- Segmentować środowisko, aby ograniczyć ruch lateralny i utrudnić eskalację ataku.
- Testować procedury reagowania przy założeniu, że przeciwnik przejdzie do kolejnej fazy w mniej niż minutę.
- W chmurze wzmacniać bezpieczeństwo helpdesku, resetów haseł i procesów administracyjnych narażonych na vishing.
- Monitorować oznaki eksfiltracji danych, a nie tylko symptomy ransomware.
Podsumowanie
Raport M-Trends 2026 potwierdza, że współczesna cyberprzestępczość działa z szybkością i dojrzałością porównywalną do zautomatyzowanych procesów biznesowych. Skrócenie czasu przekazania dostępu do 22 sekund to fundamentalna zmiana, która wymusza nowe podejście do obrony.
Największe znaczenie mają dziś szybkie łatanie podatności, dojrzała ochrona tożsamości, automatyzacja response oraz pełna widoczność w środowiskach hybrydowych i chmurowych. Dla zespołów bezpieczeństwa to wyraźny sygnał, że przewaga czasowa staje się jednym z kluczowych elementów skutecznej cyberobrony.