Јаз између претњи рансомваре-а и одбране која треба да их спречи постаје све гори, а не бољи. Ивантијев Извештај о стању сајбер безбедности за 2026. је открио да се јаз у спремности проширио просечно 10 поена годишње у свакој категорији претњи коју фирма прати. Рансомваре је био најшире распрострањен: 63% професионалаца за безбедност га оцењује као високу или критичну претњу, али само 30% каже да су „веома спремни” да се бране од њега. То је заостатак од 33 поена, у односу на 29 поена пре годину дана.
ЦиберАрк-ов пејзаж безбедности идентитета 2025 поставља бројеве на проблем: 82 машинска идентитета за сваког човека у организацијама широм света. Четрдесет два процента тих машинских идентитета имају привилегован или осетљив приступ.
Најауторитативнији оквир књиге има исту слепу тачку
Гартнерово упутство за припрему рансомваре-а, истраживачка белешка из априла 2024 „Како се припремити за нападе рансомвера“ на које се тимови за безбедност предузећа позивају када праве процедуре за реаговање на инциденте, посебно позивају на потребу да се ресетују „акредитовани корисници/хостови акредитиви“ током задржавања. Пратећи Рансомваре Плаибоок Тоолкит води тимове кроз четири фазе: задржавање, анализу, санацију и опоравак. Корак ресетовања акредитива даје упутства тимовима да осигурају да су сви налози корисника и уређаја на које се то односи ресетовани.
Сервисни налози су одсутни. Као и АПИ кључеви, токени и сертификати. Најраспрострањенији оквир приручника за безбедност предузећа зауставља се на акредитивима људи и уређаја. Организације које га прате наслеђују ту слепу тачку, а да тога нису ни свесни.
Иста истраживачка белешка идентификује проблем без повезивања са решењем. Гартнер упозорава да „лоше праксе управљања идентитетом и приступом (ИАМ)“ остају примарна полазна тачка за нападе рансомвера и да се претходно компромитовани акредитиви користе за добијање приступа преко посредника за почетни приступ и депонија података на мрачном вебу. У одељку за опоравак, смернице су експлицитне: ажурирање или уклањање компромитованих акредитива је од суштинског значаја јер ће, без тог корака, нападач поново добити приступ. Машински идентитети су ИАМ. Компромитовани сервисни налози су акредитиви. Али процедуре за обуздавање у приручнику се не баве ни једним ни другим.
Гартнер формулише хитност терминима који се подударају са неколико других извора: „Рансомвер је другачији од било ког другог безбедносног инцидента“, наводи се у истраживачкој белешци. „То ставља погођене организације на тајмер за одбројавање. Свако кашњење у процесу доношења одлука уводи додатни ризик.“ У истом упутству се наглашава да трошкови опоравка могу износити 10 пута већи од самог откупа и да се рансомваре примењује у року од једног дана од почетног приступа у више од 50% ангажмана. Сат већ ради, али процедуре задржавања не одговарају хитности – не када најбрже растућа класа акредитива остане нерешена.
Дефицит спремности је дубљи од било ког појединачног истраживања
Ивантијев извештај прати јаз у спремности у свим главним категоријама претњи: рансомваре, пхисхинг, рањивости софтвера, рањивости у вези са АПИ-јем, напади на ланац снабдевања, па чак и лоша енкрипција. Сваки од њих се ширио из године у годину.
„Иако су браниоци оптимистични у погледу обећања вештачке интелигенције у сајбер безбедности, Ивантијеви налази такође показују да компаније додатно заостају у погледу тога колико су добро припремљене да се бране од разних претњи“, рекао је Данијел Спајсер, Ивантијев шеф безбедности. „Ово је оно што ја зовем ‘Дефицит спремности за сајбер безбедност’, упорна, из године у годину све већа неравнотежа у способности организације да брани своје податке, људе и мреже од еволуирајућег пејзажа претњи.
ЦровдСтрике-ова анкета о стању рансомваре-а из 2025 разлаже како тај дефицит изгледа по индустрији. Међу произвођачима који су себе оценили као „веома добро припремљене“, само 12% се опоравило у року од 24 сата, а 40% је претрпело значајне сметње у раду. Организације јавног сектора су прошле горе: 12% опоравак упркос 60% поверења. У свим индустријама, само 38% организација које су претрпеле напад рансомваре-а решило је специфичан проблем који је омогућио нападачима да уђу. Остатак је инвестирао у општа безбедносна побољшања без затварања стварне улазне тачке.
Према извештају за 2026. годину, 54 процента организација рекло је да би платило или вероватно би платило ако их данас погоди рансомваре, упркос смерницама ФБИ-ја о плаћању. Та спремност да се плати одражава фундаментални недостатак алтернатива за задржавање, управо онакав какав би омогућиле процедуре за идентификацију машина.
Где су књиге о идентитету машина недостатне
Пет корака задржавања дефинише већину процедура одговора на рансомваре данас. Машински идентитети недостају сваком од њих.
Ресетовање акредитива није дизајнирано за машине
Ресетовање лозинке сваког запосленог након инцидента је стандардна пракса, али не зауставља бочно кретање кроз компромитовани налог услуге. Гартнеров сопствени предложак приручника јасно показује слепу тачку.
У заштитном листу узорка рансомваре Плаибоок-а наведена су три корака за ресетовање акредитива: принудно одјављивање са свих погођених корисничких налога преко Ацтиве Дирецтори-а, принудна промена лозинке на свим погођеним корисничким налозима путем Ацтиве Дирецтори-а и ресетовање налога уређаја преко Ацтиве Дирецтори-а. Три корака, све Ацтиве Дирецтори, нула акредитива који нису људски. Нема услужних налога, нема АПИ кључева, нема токена, нема сертификата. Акредитивима машине је потребан сопствени ланац команде.
Нико не врши попис идентитета машина пре инцидента
Не можете ресетовати акредитиве за које не знате да постоје. Услужни налози, АПИ кључеви и токени захтевају додељивање власништва мапирано пре инцидента. Њихово откривање усред кршења кошта дане.
Само 51% организација чак има оцену изложености сајбер безбедности, показало је Ивантијев извештај, што значи да скоро половина није могла да каже одбору о изложености свог машинског идентитета ако их сутра питају. Само 27% оцењује своју процену изложености ризику као „одличну“, упркос томе што 64% улаже у управљање изложеношћу. Јаз између улагања и извршења је место где идентитети машина нестају.
Мрежна изолација не опозива ланце поверења
Извлачење машине са мреже не опозива АПИ кључеве које је издао низводним системима. Задржавање које се зауставља на периметру мреже претпоставља да је поверење ограничено топологијом. Машински идентитети не поштују ту границу. Они потврђују аутентичност преко њега.
Гартнерова сопствена истраживачка белешка упозорава да противници могу да проведу дане или месеце укопавајући се и добијајући бочно кретање унутар мрежа, прикупљајући акредитиве за упорност пре него што примене рансомваре. Током те фазе укопавања, сервисни налози и АПИ токени су акредитиви који се најлакше прикупљају без покретања упозорења. Према ЦровдСтрике-у, 76 процената организација забринуто је због спречавања ширења рансомваре-а са неуправљаног хоста преко деоница СМБ мреже. Лидери безбедности морају да мапирају који системи су веровали идентитету сваке машине како би могли да опозове приступ у целом ланцу, а не само у компромитованој крајњој тачки.
Логика детекције није направљена за понашање машине
Аномално понашање идентитета машине не покреће упозорења као што то чини компромитовани кориснички налог. Неуобичајени обим АПИ позива, токени који се користе изван прозора аутоматизације и сервисни налози који се потврђују са нових локација захтевају правила откривања која већина СОЦ-ова није написала. Истраживање ЦровдСтрике-а показало је да 85% безбедносних тимова признаје да традиционалне методе откривања не могу да иду у корак са савременим претњама. Ипак, само 53% је имплементирало детекцију претњи помоћу вештачке интелигенције. Логика детекције која би ухватила злоупотребу идентитета машине једва да постоји у већини окружења.
Устајали налози услуга остају најлакша улазна тачка
Налози који нису ротирани годинама, а неки су креирали запослени који су давно напустили, једина су најслабија површина за нападе засноване на машинама.
Гартнерове смернице позивају на снажну аутентификацију за „привилеговане кориснике, као што су администратори базе података и инфраструктуре и услужни налози“, али та препорука се налази у одељку за превенцију, а не у приручнику за задржавање где је потребна тимовима током активног инцидента. Ревизије рачуна сирочади и распореди ротације спадају у припрему пре инцидента, а не за свађе након кршења.
Економија то чини хитним сада
Агентска АИ ће умножити проблем. Осамдесет седам процената професионалаца у области безбедности каже да је интеграција агентске вештачке интелигенције приоритет, а 77% наводи да је удобност омогућавањем аутономној вештачкој интелигенцији да делује без људског надзора, према Ивантијевом извештају. Али само 55% користи формалне заштитне ограде. Сваки аутономни агент креира нове машинске идентитете, идентитете који потврђују аутентичност, доносе одлуке и делују независно. Ако организације не могу да управљају идентитетима машина које данас имају, ускоро ће додати ред величине више.
Гартнер процењује укупне трошкове опоравка на 10 пута већу од саме откупнине. ЦровдСтрике процењује да просечна цена застоја у рансомваре-у износи 1,7 милиона долара по инциденту, а организације јавног сектора у просеку износе 2,5 милиона долара. Плаћање не помаже. Деведесет и три посто организација које су платиле ионако су украле податке, а 83% је поново нападнуто. Скоро 40% није могло у потпуности да врати податке из резервних копија након инцидената рансомваре-а. Економија рансомваре-а се професионализовала до тачке у којој групе противника сада шифрују датотеке на даљину преко СМБ мрежних дељења са неуправљаних система, никада не преносећи бинарни софтвер рансомваре-а на управљану крајњу тачку.
Безбедносни лидери који уграђују инвентар машинских идентитета, правила детекције и процедуре задржавања у своје приручнике сада неће само затворити јаз који нападачи данас искоришћавају – они ће бити у позицији да управљају аутономним идентитетима који следе. Тест је да ли ти додаци преживе следећу вежбу на столу. Ако се тамо не издрже, неће издржати ни у правом инциденту.
