Zprávy

Zpráva Lumen Defender Threatscape 2026: Proč viditelnost při porušení nezachycuje podstatu

mm
Publikováno
Aktualizováno

Zpráva Lumen Defender Threatscape 2026 od Lumen, poháněná jeho bezpečnostní jednotkou Black Lotus Labs, přináší jasnou zprávu, že většina organizací stále bojuje proti kybernetickým útokům příliš pozdě. Zpráva tvrdí, že ve chvíli, kdy je detekován únik uvnitř sítě, je skutečná práce útoku již dokončena. To, co vypadá jako náhlý útok, je obvykle poslední krok v mnohem delší, pečlivě připravené operaci.

Místo toho, aby se soustředila na to, co se děje po porušení, zpráva přesouvá pozornost na to, co se děje předtím. Tento posun mění všechno.

Kybernetické útoky nyní začínají dlouho před porušením

Moderní kybernetické operace již nepodobají příležitostným vloupáním. Více se podobají strukturovaným kampaním, které jsou sestaveny po částech v průběhu času. Útočníci začínají tím, že不断ně skenují internet, hledají vystavené systémy, nespravované zařízení a slabá místa autentizace. Jakmile najdou příležitosti, staví infrastrukturu kolem nich.

Tato přípravná fáze zahrnuje ověření ukradených přihlašovacích údajů, nastavení proxy sítí, testování komunikačních kanálů a zajištění toho, aby řídící systémy mohly fungovat bez přerušení. Ve chvíli, kdy organizace detekuje podezřelou činnost, útočník již postavil cesty potřebné k pohybu v prostředí.

To, co toto činí zvláště nebezpečným, je to, že většina organizací nevidí tuto ranou fázi. Tradiční bezpečnostní nástroje jsou navrženy tak, aby detekovaly známé hrozby nebo podezřelou činnost uvnitř sítě. Není navrženy tak, aby pozorovaly, jak je útok sestaven zpočátku.

Infrastruktura je nyní skutečným bojištěm

Jedním z nejdůležitějších zjištění ve zprávě je to, že kybernetické útoky již nejsou definovány pouze malwarem. Místo toho jsou definovány infrastrukturou, která je podporuje. Útočníci investují více úsilí do budování odolných, přizpůsobivých systémů, které mohou přežít narušení a regenerovat se rychle.

Tento posun je viditelný napříč jak kriminálními operacemi, tak i kampaněmi států. Proxy sítě se staly jádrem téměř každého útoku. Tyto sítě umožňují útočníkům směrovat provoz přes ohrožená zařízení, často dělají, aby se zdálo, že škodlivá činnost pochází z legitimních uživatelů.

V téže době útočníci přecházejí od koncových bodů k hraničním zařízením, jako jsou směrovače, brány VPN a brány firewall. Tyto systémy se nacházejí v kritických bodech sítě, často mají slabší viditelnost a poskytují přímý přístup k vnitřním systémům. Také tendují mít delší dobu provozu a méně kontrolní mechanismy, což z nich činí ideální opěrné body.

Výsledkem je hrozivá krajina, ve které útočníci operují uvnitř spojovací tkáně internetu, spíše než na jeho okrajích.

Umělá inteligence zrychluje celý proces

Zpráva zdůrazňuje, jak generativní umělá inteligence dramaticky zvyšuje rychlost kybernetických operací. Úkoly, které dříve vyžadovaly lidskou koordinaci, mohou být nyní automatizovány. Útočníci používají umělou inteligenci ke skenování zranitelností, generování infrastruktury, testování exploitů a přizpůsobování svých strategií v reálném čase.

Tento posun komprimuje časový horizont útoku. Co dříve trvalo dny nebo týdny, může se nyní stát během hodin. V některých případech mohou systémy poháněné umělou inteligencí vyhodnotit síťové podmínky, identifikovat nejúčinnější cestu vpřed a upravit taktiku bez lidského zásahu.

Pro obránce to vytváří novou výzvu. Bezpečnostní týmy již nejsou čelem statickým hrozbám. Jsou čelem systémům, které se neustále vyvíjejí, reagují na obranu, jakmile ji potkají.

Kyberzločin se stal profesionálním odvětvím

Dalším úderným tématem ve zprávě je to, jak kyberzločin dospěl do strukturovaného, profesionálního ekosystému. Mnohé operace již připomínají legitimní technologické společnosti. Nabízejí služby, podporují zákazníky a neustále zlepšují své produkty.

Malwarové platformy jsou prodávány jako předplatitelské služby. Proxy sítě jsou pronajímány na vyžádání. Přístup k ohroženým systémům lze koupit a znovu prodat prostřednictvím tržišť. Rozličtí aktéři se specializují na různé části životního cyklu útoku, od počátečního přístupu po exfiltraci dat a monetizaci.

Tento stupeň organizace umožňuje kyberzločincům škálovat své operace efektivně. Také je činí odolnějšími. Když je jeden komponent narušen, jiný může rychle nahradit jeho místo.

Stejná infrastruktura je často sdílena napříč několika skupinami, což rozostřuje hranici mezi kriminální činností a operacemi států. To činí atribuci obtížnější a zvyšuje riziko nesprávné interpretace skutečné povahy útoku.

Proxy sítě předefinovávají důvěru na internetu

Jedním z nejdůležitějších vývoje popsaných ve zprávě je vzestup proxy sítí postavených z ohrožených zařízení. Tyto sítě umožňují útočníkům operovat z adres, které vypadají jako normální rezidenční nebo komerční IP adresy.

Z pohledu obránce je to velký problém. Tradiční bezpečnostní modely se silně spoléhají na důvěrné signály, jako je umístění, pověst IP a vlastnictví sítě. Proxy sítě podkopávají všechny tyto signály.

Útočník může vypadat jako legitimní uživatel, který se připojuje z rezidenční sítě. Může obejít geolokační kontroly, vyhnout se detekčním systémům a bez problémů se sladit s normálními provozními vzorci.

To znamená, že to, co vypadá čisté, nemusí být nutně bezpečné. Sám internet se stal maskou.

Even jednoduché útoky byly reinventovány

Zpráva také ukazuje, že starší techniky, jako jsou hrubé síly útoky, jsou daleko od zastaralých. Místo toho byly transformovány škálováním a automatizací.

Útočníci nyní mají přístup k masivním datovým sadám ukradených přihlašovacích údajů. Kombinují je s distribuovanou infrastrukturou a nástroji poháněnými umělou inteligencí, aby testovali autentizační systémy napříč tisíci cíli současně. Tyto útoky již nejsou náhodné. Jsou cílené, persistentní a vysoce efektivní.

Co je činí zvláště nebezpečnými, je to, že často slouží jako první krok v větší operaci. Jakmile je získán přístup, útočníci mohou proniknout hlouběji do sítě, nasadit další nástroje a etablovat dlouhodobou kontrolu.

Operace států se stávají infrastrukturou

Zpráva zdůrazňuje, jak aktéři států budují dlouhodobou infrastrukturu, která podporuje několik kampaní v průběhu času. Tyto operace jsou navrženy pro flexibilitu. Mohou být použity pro průzkum, exploataci nebo narušení v závislosti na cíli.

Rather než se soustředit na jeden cíl, tyto systémy vytvářejí základnu, která může být opakovaně použita napříč různými operacemi. Jsou navrženy tak, aby škálovaly, přizpůsobovaly se a přetrvávaly i pod tlakem.

V některých případech útočníci ani nestaví svou vlastní infrastrukturu. Přecházejí systémy, které již ovládají jiné skupiny, a používají je jako výchozí bod pro své vlastní operace. To přidává další vrstvu složitosti a činí ještě obtížnější pochopit, kdo je za útokem.

Budoucnost kybernetické bezpečnosti bude definována viditelností

Pohledem do budoucna zpráva identifikuje několik posunů, které budou tvarovat hrozivou krajinu v roce 2026 a dále. Nejvýznamnějším z nich je myšlenka, že riziko bude definováno expozicí.

Útočníci skenují internet不断ně. Každý systém, který je viditelný a zranitelný, bude nakonec cílem. Není důležité, ke kterému odvětví patří. Příležitost je hnací faktor.

V téže době budou nejdůležitější signály pocházet z vzorců v síti. Způsob, jakým systémy komunikují, jak infrastruktura je budována a opouštěna, a jak provoz proudí napříč internetem, odhalí útoky, než dosáhnou svých cílů.

To vyžaduje jiný přístup k bezpečnosti. Místo toho, aby se soustředila pouze na koncové body a upozornění, organizace potřebují pochopit širší prostředí, ve kterém se útoky formují.

Nový přístup k obraně

Zpráva činí jasné, že tradiční obranné strategie již nejsou dostatečné. Organizace potřebují posunout se dříve v životním cyklu útoku. Potřebují se soustředit na detekci a narušení infrastruktury, která umožňuje útoky, ne pouze útoky samotné.

To znamená, že hraniční zařízení jsou považována za kritické aktiva. To znamená monitorovat, jak provoz vstupuje a opouští síť. To znamená pochopit vztahy mezi systémy, spíše než spoléhat se na statické indikátory.

To také znamená akceptovat, že hranice mezi kriminální činností a státem sponzorovanými operacemi se stává stále více rozostřenou. Každý vpád by měl být považován za potenciálně strategický.

Skutečná lekce zprávy

Nejvýznamnější poznatek ze Zprávy Lumen Defender Threatscape 2026 je, že kybernetické útoky již nejsou izolovanými událostmi. Jsou sestavené systémy. Jsou plánovány, testovány a rafinovány dlouho předtím, než jsou provedeny.

V okamžiku, kdy je spuštěno upozornění, je útočník již uvnitř prostředí v některé formě. Přípravná práce již byla provedena.

Organizace, které uspějí v tomto novém prostředí, budou ty, které posunou své zaměření. Budou se dívat za koncový bod. Budou se dívat za únik. Budou se soustředit na infrastrukturu, která umožňuje tyto útoky.

Tímto způsobem získají jednu výhodu, která má největší význam v moderní kybernetické bezpečnosti. Uvidí útok, než začne.

mm

Antoine je vizionářský líder a spoluzakladatel Unite.AI, který je poháněn neotřesitelnou vášní pro formování a propagaci budoucnosti umělé inteligence a robotiky. Jako sériový podnikatel věří, že umělá inteligence bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, že vypráví o potenciálu disruptivních technologií a AGI.

As a futurist, je zasvěcen zkoumání toho, jak tyto inovace budou tvarovat náš svět. Kromě toho je také zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinují budoucnost a přetvarují celé sektory.