.jpg)
Bezpečnostní analýza týmu Cisco Talos za poslední čtvrtletí roku 2025 potvrzuje, že nejčastější vstupní branou do firemních sítí zůstávají zranitelné veřejně přístupné aplikace. Přestože jejich podíl oproti předchozímu kvartálu klesl, stále stojí za téměř 40 % všech řešených incidentů. Pozitivním signálem je ústup ransomwaru, který tvořil jen 13 % případů. Nejčastějším terčem útoků se již podruhé za sebou stala veřejná správa. Podle expertů je pro útočníky atraktivní díky kombinaci dlouhodobého podfinancování, používání zastaralých technologií a přístupu k citlivým údajům nebo dokonce ke kritické infrastruktuře státu.
„Hackeři mají taktickou výhodu v tom, že si sami vybírají, kdy a kde zaútočí. Poslední čtvrtletí roku 2025 opět potvrdilo, jak důležitá je rychlost a pečlivost při identifikaci a záplatování zranitelností,“ říká kyberbezpečnostní expert Cisco Milan Habrcetl k nejnovější zprávě agentury Cisco Talos. Ta se ve svých reportech opírá o data ze systémů Cisco nasazených po celém světě. Má tak k dispozici jednu z jednu z největších a nejkomplexnějších databází s údaji o internetovém provozu a incidentech. „Tam, kde organizace zvládly rychlé nasazování bezpečnostních záplat, správnou konfiguraci vícefaktorového ověřování a kvalitní logování, se podařilo útokům zabránit úplně, nebo je alespoň zastavit včas před největšími škodami.“
Hackerům poslouží zanedbaná údržba i horké novinky
Ani ve 4. čtvrtletí roku 2025 se nezměnil nejčastější způsob průniku do firemních sítí. Útočníci nadále zneužívají zranitelné veřejně dostupné aplikace. Tento scénář se objevil téměř ve 40 % případů řešených týmem Talos. Oproti předchozímu čtvrtletí sice jde o pokles přibližně o 20 procentních bodů, přesto zůstává nejrozšířenější vstupní branou do IT infrastruktury. Hackeři se přitom často spoléhají na dobře známé, avšak dlouhodobě neopravené chyby.
Znepokojivým trendem je však rychlost, s jakou začínají zneužívat nově zveřejněné zranitelnosti. V řadě případů k útokům dochází krátce po jejich publikování, což výrazně zkracuje čas na reakci. „Čím dříve po zveřejnění zranitelnosti organizace nasadí záplaty, tím menší prostor dávají útočníkům. Hackeři dnes pečlivě sledují nové bezpečnostní aktualizace a útočí prakticky v řádu hodin po jejich zveřejnění,“ upozorňuje Habrcetl.
Pro útočníky není nikdo „nezajímavý“
Mezi nejčastější cíle kybernetických útoků tradičně patří zdravotnictví, vzdělávací instituce a telekomunikace. Už podruhé za sebou se však na první příčce umístila veřejná správa, což naznačuje vznikající trend. Organizace ve veřejném sektoru jsou pro útočníky lákavé, protože jsou často podfinancované a používají zastaralé vybavení. Navíc mohou mít přístup k citlivým datům nebo dokonce ke kritické infrastruktuře státu, což zvyšuje jejich atraktivitu pro finančně motivované útočníky, případně skupiny zaměřené na špionáž.
„Útoky na veřejnou správu potvrzují, že pro hackery není nikdo nezajímavý. I když organizace neuchovává snadno zpeněžitelná data, útočníci mohou její infrastrukturu zneužít k další škodlivé činnost – od phishingu až po těžbu kryptoměn. Vedle důsledné správy bezpečnostních aktualizací je proto zásadní i ochrana identit, například prostřednictvím vícefaktorového ověřování,“ varuje Habrcetl.
Vydírání legální cestou
Aktivity spojené s ransomwarem ve sledovaném období dále oslabily. Zatímco v prvním pololetí loňského roku tvořily přibližně polovinu všech incidentů, ve třetím čtvrtletí jejich podíl klesl na 20 % a v závěru roku už jen na 13 %. Analytici Cisco Talos navíc nezaregistrovali vznik žádné nové ransomwarové skupiny, dominantní postavení si nadále drží Qilin. Novým trendem je však širší zneužívání nástrojů pro vzdálené monitorování a správu (RMM), a to dokonce v rámci jednoho útoku současně. „Vidíme posun k sofistikovanějším, vícefázovým útokům, kdy útočníci obracejí běžné administrátorské nástroje proti samotným obráncům. Jelikož jde o legitimní IT nástroje, je jejich zneužití mnohem obtížnější odhalit,“ říká Habrcetl.
Tři doporučení pro vyšší kybernetickou bezpečnost
Na základě dat ze 4. čtvrtletí roku 2025 formulovali experti Cisco Talos tři klíčová doporučení, která mohou organizacím pomoci výrazně posílit jejich kybernetickou odolnost.
1. Reagujte rychle, čas hraje proti vám
Útočníci neváhají využít příležitost. Analýza Cisco Talos ukazuje, že řada úspěšných incidentů stavěla na dlouhodobě známých, avšak neopravených zranitelnostech. V několika případech však hackeři zneužili i nově zveřejněné kritické chyby, a to takřka ihned po jejich odhalení, tedy ještě před instalací bezpečnostních záplat. „Opět se ukazuje, že útočníci jsou neustále ve střehu a aktivně vyhledávají nové slabiny. Zároveň ale dokážou uspět i s několik let starými exploity. Důsledná a včasná správa bezpečnostních aktualizací je tedy naprosto zásadní,“ doplňuje Habrcetl.
2. Ověřujte uživatele bez výjimek
Opakující se slabinou organizací zůstává správa identit a přístupů. Cisco Talos proto doporučuje věnovat maximální pozornost správné konfiguraci systémů pro monitorování a včasné upozorňování na podezřelé aktivity – například zneužití bypass kódů, registraci nových zařízení, vytváření účtů s výjimkou z vícefaktorového ověřování či jejich odebírání z MFA. „Problémy s vícefaktorovým ověřováním, včetně špatné konfigurace nebo dokonce obcházení MFA, se podepsaly na tom, že phishing byl druhým nejčastějším způsobem, jak útočníci získali přístup do sítě,“ vysvětluje Habrcetl.
3. Sbírejte důkazy dříve, než je budete potřebovat
Stejně jako ve třetím čtvrtletí i na konci roku 2025 komplikovalo vyšetřování incidentů nedostatečné logování nebo cílené mazání záznamů útočníky. Experti na kybernetickou bezpečnost proto doporučují nasadit řešení typu SIEM pro centralizované ukládání logů z klíčových systémů. „Pokud útočník smaže záznamy na napadeném zařízení, kopie zůstane uložená v SIEM. Organizace tak získá podklady nejen pro forenzní analýzu, ale i pro další posílení své bezpečnosti,“ uzavírá Habrcetl. (4.3.2026)
.jpg?s3=1)
