Jaz između prijetnji ransomwareom i obrane koja ih treba zaustaviti postaje sve gori, a ne bolji. Ivantijevo izvješće o stanju kibernetičke sigurnosti za 2026. pokazalo je da se jaz u pripremljenosti povećao prosjek od 10 bodova iz godine u godinu u svakoj kategoriji prijetnji koju tvrtka prati. Ransomware je najrasprostranjeniji: 63% stručnjaka za sigurnost ocjenjuje ga visokom ili kritičnom prijetnjom, ali samo 30% kaže da su “vrlo spremni” obraniti se od njega. To je razlika od 33 boda, u odnosu na 29 bodova prije godinu dana.
CyberArk’s 2025 Identity Security Landscape stavlja problem u brojke: 82 strojna identiteta za svakog čovjeka u organizacijama širom svijeta. Četrdeset i dva posto tih strojnih identiteta ima povlašteni ili osjetljivi pristup.
Sadržaj objave
Najautoritativniji okvir knjige za igru ima istu slijepu točku
Gartnerove smjernice za pripremu ransomwarea, bilješka istraživanja iz travnja 2024 “Kako se pripremiti za napade ransomwarea” na koje se timovi za sigurnost poduzeća pozivaju pri izradi postupaka odgovora na incidente, posebno ističe potrebu za resetiranjem “pogođenih vjerodajnica korisnika/domaćina” tijekom zadržavanja. Prateći Ransomware Playbook Toolkit vodi timove kroz četiri faze: zadržavanje, analiza, sanacija i oporavak. Korak poništavanja vjerodajnica upućuje timove da osiguraju poništavanje svih pogođenih korisničkih računa i računa uređaja.
Računi usluga su odsutni. Kao i API ključevi, tokeni i certifikati. Najčešće korišten okvir priručnika za sigurnost poduzeća zaustavlja se na vjerodajnicama za ljude i uređaje. Organizacije koje ga slijede nasljeđuju tu slijepu točku a da toga nisu ni svjesne.
Ista istraživačka bilješka identificira problem bez povezivanja s rješenjem. Gartner upozorava da su “loše prakse upravljanja identitetom i pristupom (IAM)” i dalje primarno polazište za napade ransomwarea te da se prethodno ugrožene vjerodajnice koriste za dobivanje pristupa putem posrednika za početni pristup i deponija podataka na tamnom webu. U odjeljku za oporavak, smjernice su jasne: ažuriranje ili uklanjanje kompromitiranih vjerodajnica je neophodno jer će bez tog koraka napadač ponovno dobiti pristup. Identiteti stroja su IAM. Ugroženi servisni računi su vjerodajnice. Ali postupci zadržavanja u knjizi ne rješavaju ni jedno ni drugo.
Gartner uokviruje hitnost u smislu da se nekoliko drugih izvora podudara: “Ransomware se razlikuje od bilo kojeg drugog sigurnosnog incidenta”, navodi se u bilješci istraživanja. “To stavlja pogođene organizacije na mjerač vremena. Svako kašnjenje u procesu donošenja odluka predstavlja dodatni rizik.” Iste smjernice naglašavaju da troškovi oporavka mogu iznositi 10 puta više od same otkupnine i da se ransomware implementira unutar jednog dana od početnog pristupa u više od 50% angažmana. Sat već radi, ali postupci zadržavanja ne odgovaraju hitnosti — ne kada se najbrže rastuća klasa vjerodajnica ne riješi.
Deficit spremnosti dublji je od bilo kojeg pojedinačnog istraživanja
Ivantijevo izvješće prati jaz u spremnosti u svakoj većoj kategoriji prijetnji: ransomware, phishing, ranjivosti softvera, ranjivosti povezane s API-jem, napadi na lanac opskrbe, pa čak i loša enkripcija. Svaki se širio iz godine u godinu.
“Iako su branitelji optimistični u pogledu obećanja umjetne inteligencije u kibernetičkoj sigurnosti, Ivantijevi nalazi također pokazuju da tvrtke sve više zaostaju u pogledu toga koliko su dobro pripremljene za obranu od raznih prijetnji”, rekao je Daniel Spicer, Ivantijev glavni službenik za sigurnost. “To je ono što ja zovem ‘deficit spremnosti za kibernetičku sigurnost’, trajna, iz godine u godinu sve veća neravnoteža u sposobnosti organizacije da obrani svoje podatke, ljude i mreže od sve veće prijetnje.”
CrowdStrikeovo istraživanje stanja ransomwarea za 2025 raščlanjuje kako taj deficit izgleda po djelatnostima. Među proizvođačima koji su se ocijenili kao “vrlo dobro pripremljeni”, samo 12% se oporavilo u roku od 24 sata, a 40% je pretrpjelo značajan prekid rada. Organizacije javnog sektora prošle su lošije: 12% oporavka unatoč 60% povjerenja. U svim industrijama samo je 38% organizacija koje su pretrpjele napad ransomwarea riješilo određeni problem koji je napadačima omogućio pristup. Ostatak je uložio u opća sigurnosna poboljšanja bez zatvaranja stvarne ulazne točke.
Prema izvješću iz 2026., 54 posto organizacija reklo je da bi ili bi vjerojatno platile ako ih danas pogodi ransomware, unatoč smjernicama FBI-a protiv plaćanja. Ta spremnost da se plati odražava temeljni nedostatak alternativa zadržavanja, točno onakvih kakve bi pružile procedure strojnog identiteta.
Gdje knjige o strojnom identitetu ne uspijevaju
Pet koraka zadržavanja definira većinu današnjih postupaka odgovora na ransomware. Svakom od njih nedostaju strojni identiteti.
Poništavanje vjerodajnica nije dizajnirano za strojeve
Poništavanje lozinke svakog zaposlenika nakon incidenta standardna je praksa, ali to ne zaustavlja bočno kretanje kroz kompromitirani račun usluge. Gartnerov vlastiti predložak priručnika jasno prikazuje slijepu točku.
Zaštitni list Ransomware Playbook Sample navodi tri koraka za poništavanje vjerodajnica: prisilna odjava svih pogođenih korisničkih računa putem Active Directoryja, prisilna promjena lozinke na svim pogođenim korisničkim računima putem Active Directoryja i resetiranje računa uređaja putem Active Directoryja. Tri koraka, sve Active Directory, nula neljudskih vjerodajnica. Bez računa usluga, bez API ključeva, bez tokena, bez certifikata. Strojne vjerodajnice trebaju vlastiti lanac zapovijedanja.
Nitko ne popisuje identitet stroja prije incidenta
Ne možete poništiti vjerodajnice za koje ne znate da postoje. Računi usluga, API ključevi i tokeni trebaju dodjele vlasništva mapirane prije incidenta. Njihovo otkrivanje usred proboja košta nekoliko dana.
Samo 51% organizacija čak ima ocjenu izloženosti kibernetičkoj sigurnosti, pokazalo je Ivantijevo izvješće, što znači da gotovo polovica ne bi mogla reći odboru o izloženosti identiteta svog stroja ako bi se to sutra pitalo. Samo 27% ocjenjuje svoju procjenu izloženosti riziku kao “izvrsnu”, unatoč tome što 64% ulaže u upravljanje izloženošću. Jaz između ulaganja i izvršenja mjesto je gdje nestaju identiteti strojeva.
Izolacija mreže ne poništava lance povjerenja
Povlačenje stroja s mreže ne opoziva API ključeve koje je izdao nizvodnim sustavima. Ograničenje koje se zaustavlja na perimetru mreže pretpostavlja da je povjerenje ograničeno topologijom. Strojni identiteti ne poštuju tu granicu. Preko njega se autentificiraju.
Gartnerova vlastita istraživačka bilješka upozorava da protivnici mogu provesti dane do mjeseci ukopavajući se i ostvarujući bočno kretanje unutar mreža, skupljajući vjerodajnice za postojanost prije postavljanja ransomwarea. Tijekom te faze kopanja, računi usluga i API tokeni su vjerodajnice koje je najlakše prikupiti bez pokretanja upozorenja. Prema CrowdStrikeu, 76 posto organizacija zabrinuto je oko zaustavljanja širenja ransomwarea s hosta kojim se ne upravlja preko dijeljenja mreže malih i srednjih poduzeća. Voditelji sigurnosti moraju mapirati koji su sustavi vjerovali svakom identitetu stroja kako bi mogli opozvati pristup cijelom lancu, a ne samo kompromitiranoj krajnjoj točki.
Logika detekcije nije napravljena za ponašanje stroja
Nenormalno ponašanje identiteta stroja ne pokreće upozorenja kao što to čini kompromitirani korisnički račun. Neuobičajene količine poziva API-ja, tokeni koji se koriste izvan prozora automatizacije i servisni računi koji se autentificiraju s novih lokacija zahtijevaju pravila otkrivanja koja većina SOC-ova nije napisala. Istraživanje CrowdStrikea pokazalo je da 85% sigurnosnih timova priznaje da tradicionalne metode detekcije ne mogu držati korak s modernim prijetnjama. Ipak, samo 53% implementiralo je AI-pokretano otkrivanje prijetnji. Logika otkrivanja koja bi uhvatila zlouporabu strojnog identiteta jedva da postoji u većini okruženja.
Zastarjeli servisni računi i dalje su najlakša ulazna točka
Računi koji nisu rotirani godinama, neke su stvorili zaposlenici koji su davno otišli, najslabija su površina za napade temeljene na stroju.
Gartnerove smjernice pozivaju na snažnu autentifikaciju za “privilegirane korisnike, kao što su administratori baze podataka i infrastrukture i servisni računi,” ali ta se preporuka nalazi u odjeljku o prevenciji, a ne u priručniku o obuzdavanju gdje je timovima potrebna tijekom aktivnog incidenta. Revizije računa siročadi i rasporedi rotacije spadaju u pripremu prije incidenta, a ne u strke nakon kršenja.
Zbog ekonomije je ovo sada hitno
Agentic AI će umnožiti problem. Osamdeset i sedam posto stručnjaka za sigurnost kaže da je integracija agentske umjetne inteligencije prioritet, a 77% navodi udobnost s dopuštanjem autonomnoj umjetnoj inteligenciji da djeluje bez ljudskog nadzora, prema izvješću Ivanti. Ali samo 55% koristi formalne zaštitne ograde. Svaki autonomni agent stvara nove identitete stroja, identitete koji provjeravaju autentičnost, donose odluke i djeluju neovisno. Ako organizacije ne mogu upravljati identitetima strojeva koje danas imaju, spremaju se dodati red veličine više.
Gartner procjenjuje ukupne troškove oporavka na 10 puta veću od same otkupnine. CrowdStrike procjenjuje da prosječni trošak zastoja ransomwarea iznosi 1,7 milijuna dolara po incidentu, a organizacije javnog sektora u prosjeku iznose 2,5 milijuna dolara. Plaćanje ne pomaže. U 93 posto organizacija koje su platile podaci su ipak ukradeni, a 83 % ponovno je napadnuto. Gotovo 40% nije moglo u potpunosti vratiti podatke iz sigurnosnih kopija nakon incidenata ransomwarea. Ekonomija ransomwarea profesionalizirala se do točke u kojoj protivničke grupe sada šifriraju datoteke na daljinu preko SMB mrežnih dijeljenja iz neupravljanih sustava, nikada ne prenoseći binarnu ransomware datoteku na upravljanu krajnju točku.
Sigurnosni čelnici koji u svoje priručnike ugrađuju inventar strojnih identiteta, pravila otkrivanja i postupke zadržavanja sada neće samo zatvoriti prazninu koju napadači danas iskorištavaju — oni će biti pozicionirani da upravljaju autonomnim identitetima koji dolaze sljedeći. Test je hoće li ti dodaci preživjeti sljedeću vježbu za stolom. Ako ne izdrže tamo, neće izdržati ni u pravom incidentu.
Povezani sadržaji
Rivian’s Sweet New 2024.47 ažuriranje dodaje Google Cast, aplikaciju YouTube
Nintendo najavljuje promjene cijene prebacivanja u SAD -u, navodeći “tržišne uvjete”
Kako vratiti stari Facebook profil?
4 VPN -a koje kunem za Linux – i zašto im vjerujem
Kako postaviti pristup udaljenom radnoj površini na svojim Linux računalima
Acer Intros posjeduje AI pametni prsten
