Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r. – część 9: Wykrywanie luk w zabezpieczeniach

Jednym z najbardziej niepokojących wniosków płynących z tegorocznego raportu jest fakt, że luki w zabezpieczeniach pozostają najszybszą drogą do naruszenia bezpieczeństwa. W 2024 r. 52% zaobserwowanych luk w zabezpieczeniach dotyczyło początkowego dostępu, a przeciwnicy w przeważającej większości wykorzystywali aplikacje dostępne w Internecie, aby uzyskać pierwsze oparcie.

Wyzwanie typu zero-day

Atakujący nie czekają już tygodniami lub miesiącami, aby wykorzystać luki w zabezpieczeniach — robią to w ciągu kilku godzin lub dni od ich ujawnienia. Grupy takie jak GRACEFUL SPIDER są przykładem tego trendu:

✅ W grudniu 2024 r. wykorzystały one lukę typu zero-day w produktach do transferu danych Cleo, omijając niedawno wydane poprawki.

✅ W ciągu kilku minut od wykrycia powadze zostali powiadomieni; w ciągu kilku godzin wdrożono globalne wzorce wykrywania, aby powstrzymać złośliwe zapisywanie plików.

✅ Do 11 grudnia, kiedy to exploit został publicznie ujawniony, oportunistyczni atakujący próbowali już powielać go na dużą skalę.

To pokazuje, jak obejście poprawek stało się obecnie standardową techniką stosowaną przez przeciwników: nawet gdy dostawcy wydają poprawki, zdeterminowani aktorzy szybko znajdują sposoby na ich obejście.

Kluczowe obserwacje

✅ Przeciwnicy łączą exploity → Łączą wiele luk, aby uzyskać wyższe uprawnienia i ominąć zabezpieczenia.

✅ Luki typu zero-day są szybko monetyzowane → Najpierw przez zaawansowane grupy, a następnie przez szerszy ekosystem cyberprzestępczości po opublikowaniu proof-of-concept.

✅ Ryzyko dla infrastruktury krytycznej → Luki są nieproporcjonalnie często wykorzystywane w sieciach VPN, aplikacjach internetowych i usługach w chmurze.

✅ Znaczenie defensywnego wykrywania → Nawet jeśli nie ma dostępnej poprawki, proaktywne wykrywanie zachowań po wykorzystaniu luki zapewnia zabezpieczenie przed masowym wykorzystaniem.

Wykrywanie luk w zabezpieczeniach nie polega już na „załataniu i zapomnieniu”. Chodzi o wykrywanie tego, co prześlizguje się przez krytyczne okno, zanim dostępna będzie poprawka. Raport jasno pokazuje: przeciwnicy szybko wprowadzają innowacje, ale obrońcy mogą wygrać, łącząc zarządzanie ekspozycją, proaktywne wykrywanie i obronę opartą na danych wywiadowczych.

Moje zalecenia:

✅ Priorytetowo traktuj aktualizowanie systemów podłączonych do Internetu — zwłaszcza bram VPN, aplikacji w chmurze i serwerów internetowych.

✅ Stale oceniaj narażenie poprzez skanowanie podatności i inwentaryzację zasobów.

✅ Poszukuj artefaktów wykorzystania, takich jak nietypowe zapisy plików, podejrzane wykonywanie poleceń PowerShell/komend i nietypowe zachowanie procesów.

✅ Zintegruj analizę zagrożeń z wykrywaniem, aby identyfikować łańcuchy exploitów i ewoluujące kampanie zero-day.

Autor: Sebastian Burgemejster