Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r.

Roczny raport CrowdStrike dotyczący wykrywania zagrożeń jest jednym z najważniejszych dokumentów wywiadowczych dla ekspertów ds. bezpieczeństwa, zawierającym szczegółowe informacje na temat zachowań przeciwników, sektorów docelowych i taktyk włamań.

Tegoroczne ustalenia nie pozostawiają wątpliwości: atakujący przyspieszają, dostosowują się i rozszerzają swoją działalność na wszystkie możliwe obszary ataku — od punktów końcowych i tożsamości po obciążenia w chmurze i partnerów w łańcuchu dostaw.

Przeciwnicy wykorzystują szybkość, aby przytłoczyć obrońców. Mediana czasu przełamania — czasu od początkowego naruszenia do ruchu bocznego — wynosi obecnie 62 minuty, co stanowi spadek z 79 minut w 2024 roku.

Wyniki:

71% wszystkich interaktywnych włamań wiązało się z nadużyciem ważnych kont.

34% wykorzystywało interpretery poleceń i skryptów do przejęcia kontroli.

51% wiązało się z unikaniem zabezpieczeń — wyłączaniem narzędzi bezpieczeństwa lub manipulowaniem logami.

36% było skierowanych przeciwko środowiskom chmurowym.

21% wiązało się z naruszeniem bezpieczeństwa łańcucha dostaw.

68% włamań opartych na tożsamości omijało uwierzytelnianie wieloskładnikowe (MFA), często poprzez kradzież tokenów sesji.

Trendy dotyczące włamań według przeciwników

Grupy przestępcze zajmujące się cyberprzestępczością – 73% włamań; dążą do szybkiej monetyzacji poprzez oprogramowanie ransomware, kradzież danych i oszustwa finansowe.

Podmioty państwowe – 26% śledzonych włamań; preferują długoterminowe, precyzyjne kampanie mające na celu gromadzenie informacji wywiadowczych i strategiczne zakłócanie działalności.

Dane z 2025 r. przedstawiają jasny obraz sytuacji: szybkość i tożsamość to obecnie dwa największe czynniki zwiększające siłę działania przeciwników. Obrońcy muszą wykrywać zagrożenia i reagować szybciej niż kiedykolwiek wcześniej. Środowiska chmurowe stały się głównym polem walki, a podmioty stanowiące zagrożenie szybko rozwijają umiejętności w zakresie wykorzystywania obciążeń, płaszczyzn kontrolnych i systemów tożsamości.Obserwujemy również wykorzystanie sztucznej inteligencji w wielu dziedzinach — od rozpoznania i generowania treści phishingowych po automatyczne skanowanie podatności, tworzenie skryptów ruchu bocznego i zaciemnianie ładunku. Złożoność ataków rośnie, łącząc w tej samej kampanii wykorzystanie punktów końcowych, naruszenie tożsamości i włamania do chmury. Hashtag #Vishing jest doskonałym przykładem tej ewolucji, łącząc manipulację ludźmi z nadużywaniem poświadczeń w celu ominięcia tradycyjnych zabezpieczeń. Chociaż e-przestępczość pozostaje dominującym czynnikiem motywującym, strategiczne zamiary podmiotów sponsorowanych przez państwo stają się coraz bardziej widoczne i mają coraz większy wpływ. Ogólnie rzecz biorąc, przeciwnicy dostosowują swoje taktyki w czasie rzeczywistym, aby przeciwdziałać naszym zabezpieczeniom, wymagając od obrońców takiej samej zwinności i innowacyjności, jak atakujący, z którymi mają do czynienia.

Ten wpis stanowi wprowadzenie do raportu. W kolejnych wpisach omówię szczegółowo poszczególne sekcje raportu, w tym logikę nazewnictwa przeciwników, statystyki dotyczące pierwszej linii, analizę poszczególnych sektorów oraz najpopularniejsze techniki MITRE ATT&CK zaobserwowane w tym roku.

Raport

Autor: Sebastian Burgemejster