A Sophos közzétette a 2026-os Active Adversary Report elemzését, amely szerint a tavaly vizsgált incidensek 67 százaléka hitelesítéssel kapcsolatos gyengeségekre vezethető vissza. A megállapítás különösen fontos a magyar szervezetek számára is, ahol a digitalizáció gyorsulása és a NIS2 megfelelési kötelezettségek miatt egyre nagyobb figyelem irányul az identitásvédelemre és a folyamatos monitorozásra.
A jelentés rámutat: a támadók ma már elsősorban nem sérülékenységeket használnak ki, hanem ellopott hitelesítő adatokat vagy a hiányos többtényezős hitelesítés kihasználásával jutnak be a rendszerekbe – sokszor észrevétlenül.
A legfontosabb trendek
A kezdeti hozzáférés egyre inkább kompromittált jelszavakon keresztül történik: a brute-force támadások ((ez egy olyan módszer, amikor a támadó rengeteg jelszó- vagy kódkombinációt próbál ki egymás után, amíg meg nem találja a helyeset) aránya (15,6%) már szinte megegyezik a sérülékenységek kihasználásával (16%).
A támadók rendkívül gyorsak: átlagosan 3,4 óra alatt szerzik meg a hozzáférést az Active Directory rendszert.
A medián „dwell time” (támadó tartózkodási ideje a rendszerben) három napra csökkent, ami azt jelzi, hogy a támadások gyorsabban zajlanak le — ugyanakkor a védekezés is gyorsul.
A zsarolóvírus-támadások 88%-a munkaidőn kívül történik, amikor a szervezetek védelme ugyanolyan erős csak a reakció képesség csökken.
A hiányos naplózás továbbra is komoly probléma, ami jelentősen megnehezíti az incidensek felderítését és kivizsgálását.
Miért különösen releváns ez Magyarországon?
A hazai szervezetek jelentős része még mindig korlátozott erőforrásokkal működteti IT-biztonsági csapatait, miközben a hibrid munkavégzés és a felhőhasználat növeli a támadási felületet. A jelentés megállapításai szerint az esetek 59%-ában nem volt megfelelő MFA (többtényezős hitelesítés), ami jól mutatja: az alapvető identitásvédelmi intézkedések hiánya globálisan is komoly kockázat — és ez alól a magyar piac sem kivétel.
A NIS2 irányelv bevezetése miatt a naplózás, a folyamatos monitorozás és a gyors incidenskezelés képessége egyre inkább üzleti és megfelelési kérdéssé válik, nem csak IT-feladattá.
Több támadói csoport, kiszámíthatatlanabb környezet
A Sophos kutatói rekord számú aktív fenyegető csoportot azonosítottak. Az Akira és a Qilin voltak a legaktívabb zsarolóvírus-csoportok, miközben összesen 51 különböző ransomware-márka jelent meg az esetekben.
Ez azt jelenti, hogy a fenyegetési környezet egyre fragmentáltabb, ami megnehezíti a védekezést és növeli a támadások valószínűségét.
Bár sok szó esik az AI-alapú támadásokról, a jelentés szerint egyelőre nincs bizonyíték arra, hogy az AI alapjaiban változtatta volna meg a támadási módszereket. A generatív AI főként az adathalászat skálázását és hitelességét növeli.
Mit tehetnek most a magyar szervezetek?
A Sophos szakértői szerint a következő lépések jelentik a leghatékonyabb védelmet:
Adathalászat-ellenálló többtényezős hitelesítés (MFA) bevezetése és rendszeres ellenőrzése
Az identitásinfrastruktúra és internetre nyitott rendszerek kitettségének csökkentése
Sérülékenységek gyors javítása, különösen peremeszközökön
24/7 monitorozás biztosítása MDR vagy hasonló szolgáltatással
Biztonsági naplók hosszabb megőrzése a gyors incidenskezelés érdekében
