Krajobraz zagrożeń ENISA 2025 — część 5

Ostatni rozdział raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) pozwala nam dogłębnie zapoznać się z mechanizmami cyberataków — taktykami, technikami i procedurami (TTP) stosowanymi przez przeciwników w celu naruszenia bezpieczeństwa systemów, kradzieży danych i spowodowania zakłóceń. Jest to niezwykle ważna sekcja, ponieważ zrozumienie sposobu działania atakujących pomaga organizacjom opracować kompleksowe strategie obronne i ustalić priorytety środków kontroli, które naprawdę ograniczają ryzyko.

TTPs

1️⃣ Wstępny dostęp poprzez wykorzystanie aplikacji publicznych

Nadal jest to najczęściej wykorzystywany wektor wstępnego dostępu, odpowiedzialny za 42% zaobserwowanych incydentów. Atakujący coraz częściej wykorzystują niezałatane aplikacje internetowe, sieci VPN i interfejsy API, aby dostać się do sieci.

2️⃣ Prawidłowe konta

W 39% przypadków wykorzystywane są skompromitowane lub skradzione dane uwierzytelniające.

3️⃣ Interpreter poleceń i skryptów

Wykorzystywany w 34% incydentów do wykonywania złośliwych skryptów i automatyzacji eskalacji uprawnień.

4️⃣ Omijanie zabezpieczeń

W 51% przypadków atakujący wyłączają lub omijają mechanizmy antywirusowe, EDR i rejestrujące.

Foto: https://pl.freepik.com/

➡️ 81% włamań nie wiązało się z wykorzystaniem złośliwego oprogramowania.

➡️ Przeciwnicy coraz częściej korzystają z natywnych narzędzi systemowych i technik „living-off-the-land”.

➡️ Phishing pozostaje najpopularniejszą metodą początkowej infekcji, ale ruch boczny w dużym stopniu zależy obecnie od nadużywania tożsamości i błędnych konfiguracji w systemach AD, IAM i SSO.

➡️ Wykorzystywanie luk w zabezpieczeniach w chmurze wzrosło o 136%.

LUKI W ZABEZPIECZENIACH

➡️ 64% udokumentowanych luk w zabezpieczeniach wykorzystuje sieć jako główny wektor ataku.

➡️ 22% wykorzystuje lokalne podwyższenie uprawnień.

➡️ 11% opiera się na interakcji użytkownika, takiej jak złośliwe załączniki lub linki.

➡️ 3% wiąże się z fizycznym dostępem lub nośnikami wymiennymi.

ENISA odnotowała ponad 31 000 ujawnionych luk w zabezpieczeniach, co stanowi wzrost o 12% w ujęciu rok do roku.

DOSTAWCY I LUKI W ZABEZPIECZENIACH

1️⃣ LINUX

Co zaskakujące, dystrybucje systemu Linux stanowiły największą liczbę ujawnionych luk w zabezpieczeniach.

2️⃣ Microsoft

Zajmuje drugie miejsce pod względem całkowitej liczby ujawnionych luk, ale pierwsze pod względem KEV. Produkty Microsoftu pozostają najczęściej atakowane w rzeczywistych atakach w całej UE.

3️⃣ Apple, Google i Cisco plasują się na kolejnych miejscach pod względem całkowitej liczby, szczególnie w kategoriach urządzeń mobilnych i sieciowych.

4️⃣ Luki w zabezpieczeniach Adobe nadal pojawiają się w oprogramowaniu kreatywnym i korporacyjnym.

For me, this is one of the most important and practical sections of theENISA report. It connects how attackers operate, giving a full picture of the current threat ecosystem.

➡️ 64% of vulnerabilities are exploitable via the network — meaning perimeter hardening and segmentation are still essential.

➡️ Microsoft tops the chart for exploited vulnerabilities and KEVs.

➡️ Attackers don’t need new tools — they exploit what’s already available.

That’s why vulnerability and patch management should be a cornerstone of every cybersecurity program. Every organization — regardless of size or sector — must move from reactive patching to continuous vulnerability management.

Link

Autor: Sebastian Burgemejster