Raportit
Vuoden 2026 Lumen Defender Threatscape -raportti: Miksi näkyvyys loukkausten kohdalla ei olekaan pointti
Vuoden 2026 Lumen Defender Threatscape -raportti Lumenilta, jota tukee uhka-intelligenssiyksikkö Black Lotus Labs, antaa selkeän viestin, että useimmat organisaatiot taistelevat edelleen kyberhyökkäyksiä liian myöhään. Raportti väittää, että kun loukkaus havaitaan verkostossa, hyökkäyksen todellinen työ on jo valmis. Mikä näyttää yllättävältä murtautumiselta, on usein hyökkäyksen viimeinen vaihe pitkässä, huolellisesti rakennetussa operaatiossa.
Sen sijaan, että keskittyisimme siihen, mitä tapahtuu loukkauksen jälkeen, raportti siirtää huomion siihen, mitä tapahtuu ennen sitä. Tämä muutos muuttaa kaiken.
Kyberhyökkäykset alkavat nyt paljon ennen loukkausta
Nykyiset kyberoperaatiot eivät enää muistuta tilaisuudenvaraisia murtovarkauksia. Ne muistuttavat enemmän rakennettuja kampanjoita, jotka kootaan palasista yhdessä ajan myötä. Uhka-aktöörit aloittavat jatkuvasti skannaamalla internetiä etsimällä altaita järjestelmiä, päivittämättömiä laitteita ja heikkoja todennuskohtia. Kun he löytävät mahdollisuuksia, he rakentavat infrastruktuuria niiden ympärille.
Tämä valmisteluvaihe sisältää varastettujen tunnistetietojen vahvistamisen, väliverkkoyhteyksien asettamisen, viestintäkanavien testaamisen ja varmistamisen, että komentojärjestelmät voivat toimia keskeytyksettä. Kun organisaatio havaitsee epäilyttävän toiminnan, hyökkääjä on jo rakentanut tarvittavat reitit liikkua ympäristössä.
Se, mikä tekee tästä erityisen vaarallista, on se, että useimmat organisaatiot eivät näe tätä alkuvaihetta. Perinteiset turvallisuustyökalut on suunniteltu havaitsemaan tunnettuja uhkia tai epäilyttävää toimintaa verkostossa. Ne eivät ole suunniteltu havaitsemaan, miten hyökkäys rakennetaan alusta alkaen.
Infrastruktuurikerros on nyt todellinen taistelukenttä
Yksi raportin tärkeimmistä löydöksistä on, että kyberhyökkäykset eivät enää määritellä pelkästään malmarella. Sen sijaan ne määritellään infrastruktuurilla, joka tukee niitä. Hyökkääjät panostavat enemmän ponnisteluihin kestävien, sopeutuvien järjestelmien rakentamiseksi, jotka voivat selviytyä keskeytyksettä ja regeneroida nopeasti.
Tämä muutos on nähtävissä sekä rikollisissa operaatioissa että valtioiden tukemissa kampanjoissa. Väliverkkoyhteydet ovat käytännössä jokaisen hyökkäyksen keskeinen osa. Nämä verkot sallivat hyökkääjien reitittää liikennettä murtovarkauksien kautta, usein tehdessä siitä, että epäilyttävä toiminta näyttää tulevan laillisten käyttäjien puolesta.
Samaan aikaan hyökkääjät siirtävät fokuksensa päätepisteistä reuna-laitteisiin, kuten reitittimiin, VPN-yhdyskäytäviin ja palomuureihin. Nämä järjestelmät sijaitsevat kriittisissä kohdissa verkostossa, usein heikommalla näkyvyydellä ja tarjoavat suoran pääsyn sisäisiin järjestelmiin. Ne myös ovat usein pidemmän aikaa päällä ja vähemmän valvontatoimia, mikä tekee niistä ihanteellisia jalansijoja.
Tuloksena on uhka-aluetila, jossa hyökkääjät toimivat internetin yhdistävän kudoksen sisällä sen sijaan, että ne olisivat sen reunoilla.
Tekoäly nopeuttaa koko prosessia
Raportti korostaa, miten generatiivinen tekoäly lisää dramaattisesti kyberoperaatioiden nopeutta. Tehtävät, jotka aikaisemmin vaativat ihmisten koordinaatiota, voidaan nyt automatisoida. Hyökkääjät käyttävät tekoälyä skannaamaan haavoittuvuuksia, generoimaan infrastruktuuria, testaamaan hyökkäyksiä ja sopeuttaa strategioitaan reaaliajassa.
Tämä muutos tiivistää hyökkäyksen aikajanan. Se, mikä aiemmin kesti päiviä tai viikkoja, voi nyt tapahtua muutamassa tunnissa. Joidenkin tapausten osalta tekoälyjärjestelmät voivat arvioida verkoston tilaa, tunnistaa tehokkaimman etenemisen ja sopeuttaa taktiikkaa ilman ihmisen väliintuloa.
Puolustajille tämä luo uuden haasteen. Turvallisuustiimit eivät enää kohtaa staattisia uhkia. He kohtaavat järjestelmiä, jotka kehittyvät jatkuvasti ja reagoivat puolustuksiin, kun niitä havaitaan.
Kyberrikollisuus on muuttunut ammattimaiseksi teollisuudeksi
Raportin toinen merkittävä teema on, miten kyberrikollisuus on kehittynyt rakenteelliseksi, ammattimaiseksi ekosysteemiksi. Monet operaatiot muistuttavat nyt legitiimejä teknologiayrityksiä. Ne tarjoavat palveluita, tukevat asiakkaita ja parantavat jatkuvasti tuotteitaan.
Malmi-alustat myydään tilauspalveluina. Väliverkkoyhteydet vuokrataan tarpeen mukaan. Pääsy murtovarkauksiin voidaan ostaa ja myydä uudelleen markkinoilla. Eri toimijat erikoistuvat eri osiin hyökkäyskiertoon, alkaen alkuperäisestä pääsystä, tietojen vuotamiseen ja rahastamiseen.
Tämä taso organisaatiota mahdollistaa kyberrikollisille tehokkaan operaatioiden skaalauksen. Se myös tekee heistä kestävämpiä. Kun yksi komponentti häirintyy, toinen voi nopeasti korvata sen.
Sama infrastruktuuri jaetaan usein useiden ryhmien kesken, mikä hämärtää rajaa rikollisen toiminnan ja valtioiden tukemien operaatioiden välillä. Tämä tekee attribuution vaikeammaksi ja lisää riskiä ymmärtää väärin hyökkäyksen todellista luonnetta.
Väliverkkoyhteydet määrittävät luottamuksen internetissä
Yksi raportin tärkeimmistä kehityksistä on kompromisoitujen laitteiden väliverkkoyhteyksien kasvu. Nämä verkot sallivat hyökkääjien toimia sellaisilta IP-osoitteilta, jotka näyttävät tulevan normaaleilta koti- tai liiketoimintaverkoilta.
Puolustajan näkökulmasta tämä on suuri ongelma. Perinteiset turvallisuusmallit luottavat voimakkaasti luottamusmerkkeihin, kuten sijaintiin, IP-mainetta ja verkoston omistajuuteen. Väliverkkoyhteydet horjuttavat kaikkia näitä merkkejä.
Hyökkääjä voi näyttää legitiimiltä käyttäjältä, joka yhdistää kotiverkosta. He voivat kiertää sijaintitarkistukset, välttää havaitsemisjärjestelmiä ja sulautua vaivattomasti normaaliin liikenteeseen.
Tämä tarkoittaa, että se, mikä näyttää puhdaselta, ei välttämättä ole turvallista. Internet itsessään on muuttunut naamioitumiskeinoksi.
Jopa yksinkertaiset hyökkäykset on uudelleen keksitty
Raportti osoittaa myös, että vanhat tekniikat, kuten brute force -hyökkäykset, eivät ole vanhentuneita. Sen sijaan ne on muutettu skaalalla ja automaatiolla.
Hyökkääjillä on nyt pääsy massiivisiin varastettujen tunnistetietojen tietokantoihin. He yhdistävät tämän hajautettuun infrastruktuuriin ja tekoälytyökaluihin testatakseen todennusjärjestelmiä tuhansien kohteiden yli samanaikaisesti. Nämä hyökkäykset eivät ole enää satunnaisia. Ne ovat kohdennettuja, pysyviä ja erittäin tehokkaita.
Se, mikä tekee niistä erityisen vaarallisia, on se, että ne usein toimivat ensimmäisenä askelena laajemmassa operaatiossa. Kun pääsy on saavutettu, hyökkääjät voivat siirtyä syvemmälle verkostoon, käyttää lisää työkaluja ja perustaa pitkäaikaisen valvonnan.
Valtioiden operaatiot muuttuvat infrastruktuurialustoiksi
Raportti korostaa, miten valtioiden toimijat rakentavat pitkäaikaisia infrastruktuureja, jotka tukevat useita kampanjoita ajan myötä. Nämä operaatiot on suunniteltu joustavuutta varten. Ne voidaan käyttää tiedusteluun, hyödyntämiseen tai keskeyttämiseen riippuen tavoitteesta.
Sen sijaan, että keskittyisivät yhteen kohdekohteeseen, nämä järjestelmät luovat perustan, jota voidaan käyttää eri operaatioissa. Ne on suunniteltu skaalautumaan, sopeutumaan ja kestämään painetta.
Joidenkin tapausten osalta hyökkääjät eivät edes rakenna omaa infrastruktuuriaan. He ottavat haltuunsa järjestelmiä, joita jo hallitsevat muut ryhmät, ja käyttävät niitä oman operaationsa lähtöalustana. Tämä lisää monimutkaisuutta ja tekee ymmärtämisen, kuka on hyökkäyksen takana, vielä haasteellisemmaksi.
Tulevaisuuden kyberturvallisuus määritellään näkyvyydellä
Raportin näkemys eteenpäin osoittaa useita muutoksia, jotka muokkaavat uhka-aluetta vuonna 2026 ja sen jälkeen. Tärkein näistä on se, että riski määritellään alttiudeksi.
Hyökkääjät skannaavat internetiä jatkuvasti. Mikä tahansa järjestelmä, joka on näkyvissä ja haavoittuvainen, tullaan lopulta kohtamaan. Se ei ole merkityksellistä, mihin alaan se kuuluu. Mahdollisuus on ohjaava tekijä.
Samaan aikaan tärkeimmät signaalit eivät tule yksittäisistä laitteista. Ne tulevat verkoston malleista. Se, miten järjestelmät viestivät, miten infrastruktuuri rakennetaan ja hylätään, ja miten liikenne virtaa internetissä, paljastaa hyökkäykset ennen kuin ne saavuttavat kohteensa.
Tämä vaatii toisenlaista lähestymistapaa turvallisuuteen. Sen sijaan, että keskittyisimme vain päätepisteisiin ja hälytyksiin, organisaatioiden on ymmärrettävä laajempi ympäristö, jossa hyökkäykset muotoutuvat.
Uusi lähestymistapa puolustukseen
Raportti tekee selväksi, että perinteiset puolustusstrategiat eivät enää riitä. Organisaatioiden on siirrettävä hyökkäyskiertoon aikaisemmaksi. Heidän on keskityttävä havaitsemaan ja keskeyttämään infrastruktuuria, joka mahdollistaa hyökkäykset, ei vain itse hyökkäykset.
Tämä tarkoittaa reunalaiteiden käsittelyä kriittisinä varusteina. Se tarkoittaa valvontaa siitä, miten liikenne saapuu ja poistuu verkostosta. Se tarkoittaa ymmärtämistä järjestelmien välisistä suhteista sen sijaan, että riippuisimme staattisista merkeistä.
Se myös tarkoittaa sitä, että on hyväksyttävä, että raja rikollisen toiminnan ja valtioiden tukemien operaatioiden välillä on tasoittumassa. Jokainen tunkeutuminen on käsiteltävä strategisena.
Raportin todellinen opetus
Tärkein viesti Vuoden 2026 Lumen Defender Threatscape -raportista on, että kyberhyökkäykset eivät ole enää erillisiä tapahtumia. Ne ovat rakennettuja järjestelmiä. Ne on suunniteltu, testattu ja viimeistelty jo ennen kuin ne toteutetaan.
Kun hälytys laukaistaan, hyökkääjä on jo jollakin tavoin sisällä ympäristössä. Maaperä on jo valmisteltu.
Onnistuvat organisaatiot tulevaisuudessa ovat ne, jotka siirtävät fokuksensa. He tarkastelevat päätepisteen ulkopuolella. He tarkastelevat loukkausten ulkopuolella. He keskittyvät infrastruktuuriin, joka mahdollistaa nämä hyökkäykset.
Tehdessään näin he saavuttavat yhden tärkeimmän edun modernissa kyberturvallisuudessa. He näkevät hyökkäyksen ennen kuin se alkaa.
