Wprowadzenie do problemu / definicja
Współczesne zespoły SOC oraz dostawcy usług MDR funkcjonują w środowisku stałego przeciążenia telemetrią bezpieczeństwa. W praktyce oznacza to konieczność szybkiej selekcji zdarzeń i skupienia się przede wszystkim na alertach oznaczonych jako krytyczne lub wysokiego priorytetu. Problem polega jednak na tym, że klasyfikacja ważności nie zawsze oddaje rzeczywiste ryzyko operacyjne. Coraz więcej danych wskazuje, że również alerty informacyjne i niskiego priorytetu mogą stanowić początek pełnoprawnych incydentów bezpieczeństwa.
To przesuwa punkt ciężkości z samej detekcji na jakość triage, weryfikacji i późniejszego dochodzenia. Organizacja może bowiem posiadać rozbudowane systemy bezpieczeństwa, a mimo to przeoczyć istotny etap ataku tylko dlatego, że pierwszy sygnał został uznany za mało ważny.
W skrócie
- Analiza objęła 25 milionów alertów pochodzących z produkcyjnych środowisk przedsiębiorstw.
- Blisko 1% potwierdzonych incydentów rozpoczęło się od alertów sklasyfikowanych początkowo jako niskiego priorytetu lub informacyjne.
- W obszarze endpointów odsetek ten sięgał niemal 2%.
- Ponad połowa potwierdzonych infekcji na stacjach końcowych była wcześniej oznaczona przez rozwiązania EDR jako usunięta lub zmitigowana.
- Dane pokazują, że klasyczny model triage oparty głównie na priorytecie alertu pozostawia realną lukę detekcyjną.
Kontekst / historia
Wnioski pochodzą z szerokiej analizy danych obejmujących monitoring około 10 milionów endpointów i tożsamości, 82 tysiące dochodzeń forensycznych z analizą pamięci operacyjnej, 180 milionów przeanalizowanych plików, telemetrię z 7 milionów adresów IP, 3 milionów domen i adresów URL oraz ponad 550 tysięcy wiadomości phishingowych. Taka skala pozwala spojrzeć na problem nie jako na pojedynczy wyjątek, ale jako na powtarzalny wzorzec operacyjny.
Tradycyjny model działania SOC powstał jako odpowiedź na ograniczenia kadrowe, kosztowe i czasowe. Organizacje nie są w stanie analizować wszystkiego, dlatego od lat rozwijały procesy agresywnej filtracji i automatycznego zamykania części incydentów. Z czasem doprowadziło to do utrwalenia założenia, że niski priorytet oznacza niski wpływ. Najnowsze dane podważają tę logikę i pokazują, że atakujący potrafią skutecznie wykorzystywać właśnie te strefy, które są regularnie pomijane.
Analiza techniczna
Najbardziej niepokojący wniosek dotyczy rozbieżności między oceną ważności alertu a faktycznym stanem kompromitacji. W analizowanym zbiorze niemal 1% potwierdzonych incydentów wywodziło się z alertów uznanych początkowo za mało istotne. W organizacjach generujących setki tysięcy zdarzeń rocznie może to oznaczać dziesiątki realnych zagrożeń pozostających poza pełnym dochodzeniem.
Szczególnie istotny okazał się obszar endpointów. Spośród 82 tysięcy alertów poddanych analizie pamięci aktywne infekcje potwierdzono w 2,6 tysiąca przypadków. Co ważne, 51% skompromitowanych hostów było już wcześniej oznaczonych przez źródłowe narzędzia EDR jako obsłużone lub zmitigowane. To pokazuje ograniczenia modelu, który zakłada, że status remediacji automatycznie oznacza rzeczywiste usunięcie zagrożenia.
Analiza pamięci ujawniała obecność narzędzi i rodzin malware powszechnie spotykanych w realnych operacjach ofensywnych, takich jak Mimikatz, Cobalt Strike, Meterpreter czy StrelaStealer. Nie były to więc odosobnione artefakty testowe, lecz komponenty kojarzone z dojrzałymi kampaniami przestępczymi i działaniami ukierunkowanymi.
Równie wymowne są dane dotyczące phishingu. Mniej niż 6% potwierdzonych złośliwych wiadomości zawierało załączniki. Dominowały techniki oparte na odsyłaczach, treści wiadomości oraz nadużywaniu zaufanych platform i legalnej infrastruktury chmurowej. W wielu przypadkach wykorzystywano poprawnie uwierzytelnione wiadomości, co ogranicza skuteczność klasycznych filtrów bazujących na reputacji nadawcy czy sygnaturach.
Wśród technik omijania detekcji pocztowej pojawiały się między innymi ładunki Base64 osadzone w plikach SVG, linki ukryte w metadanych adnotacji PDF, dynamicznie ładowane strony phishingowe hostowane przez współdzielone usługi oraz dokumenty DOCX zawierające zarchiwizowaną zawartość HTML z kodami QR. To niekoniecznie nowatorskie rozwiązania, ale ich skala wykorzystania pokazuje rosnącą dojrzałość operacyjną przeciwników.
W środowiskach chmurowych dominowały natomiast sygnały związane z utrzymaniem dostępu, unikaniem detekcji i nadużywaniem legalnych funkcji platform. Szczególnie widoczne były błędne konfiguracje usług AWS, zwłaszcza w obszarze S3, zarządzania dostępem, logowania serwerowego oraz ograniczeń międzykontowych. Tego typu problemy często nie generują alertów wysokiego priorytetu, mimo że po uzyskaniu przyczółka przez napastnika znacząco przyspieszają eskalację działań.
Konsekwencje / ryzyko
Z punktu widzenia bezpieczeństwa problem nie sprowadza się do pojedynczego przeoczenia. Chodzi o systemową ślepotę na całą klasę zdarzeń, które regularnie nie trafiają do pogłębionej analizy. W efekcie organizacja może posiadać sprawną telemetrię i poprawne wykrycia, ale nadal przegrywać na etapie klasyfikacji i obsługi alertów.
Konsekwencją jest wydłużony czas obecności przeciwnika w środowisku, większa trwałość infekcji na stacjach roboczych, wyższa skuteczność phishingu oraz łatwiejsze wykorzystanie błędnych konfiguracji chmurowych do ruchu bocznego lub eksfiltracji danych. Szczególnie ryzykowna jest sytuacja, w której system EDR raportuje zakończoną remediację, podczas gdy aktywne komponenty nadal funkcjonują w pamięci operacyjnej. Taki stan tworzy fałszywe poczucie bezpieczeństwa i może opóźniać reakcję o dni lub tygodnie.
Dodatkowym problemem jest brak pętli informacji zwrotnej. Jeżeli alerty niskiego priorytetu nie są badane, organizacja nie dowiaduje się, które reguły detekcyjne zawodzą w praktyce. W konsekwencji scoring, korelacja i modele analityczne nie są ulepszane na podstawie pełnego materiału dowodowego, a luki utrwalają się w procesie operacyjnym.
Rekomendacje
Organizacje powinny odejść od automatycznego utożsamiania poziomu ważności alertu z rzeczywistym poziomem ryzyka. Priorytet powinien być jednym z elementów oceny, ale nie jedynym czynnikiem decydującym o zamknięciu lub eskalacji zdarzenia.
- Rozszerzyć dochodzenia endpointowe o analizę pamięci i weryfikację artefaktów po remediacji, zamiast polegać wyłącznie na statusie „mitigated” w EDR.
- Dostosować ochronę poczty do współczesnych technik phishingowych, obejmujących legalne usługi chmurowe, poprawnie uwierzytelnione wiadomości, kody QR, metadane dokumentów i dynamiczne łańcuchy przekierowań.
- Zwiększyć widoczność konfiguracji chmury, szczególnie w obszarach IAM, logowania, polityk bucketów, restrykcji międzykontowych oraz monitorowania nadużyć tokenów.
- Inwestować w automatyzację dochodzeń, a nie wyłącznie w automatyzację przepływów pracy, tak aby większa część alertów otrzymywała ocenę opartą na dowodach technicznych.
- Zamknąć pętlę informacji zwrotnej między triage, threat huntingiem i detection engineering, tak by każdy potwierdzony incydent wynikający z alertu niskiego priorytetu prowadził do aktualizacji reguł i logiki korelacyjnej.
Podsumowanie
Analiza 25 milionów alertów pokazuje, że ignorowanie zdarzeń niskiego priorytetu przestaje być akceptowalnym kompromisem operacyjnym. Właśnie w tej kategorii regularnie ukrywają się realne incydenty, aktywne infekcje endpointów, nowoczesne kampanie phishingowe i błędne konfiguracje chmurowe gotowe do wykorzystania.
Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Problemem nie jest już wyłącznie jakość samych detekcji, ale również zdolność do konsekwentnego badania tego, co dotąd uznawano za szum. W praktyce przewagę zyskają te organizacje, które potrafią połączyć skalę automatyzacji z głębią dochodzenia technicznego.
Źródła
- The Hacker News — https://thehackernews.com/2026/05/one-missed-threat-per-week-what-25m.html
- 2026 AI SOC Report for CISOs by Intezer — https://intezer.com/resources/whitepapers/2026-ai-soc-report-for-cisos/