Vaš sistem spregleda 8 od 10 napadov – in to ni največji problem
4. nov. 2025
Upravljanje informacijske infrastrukture
Podjetja po svetu vsako leto vložijo milijone evrov v SIEM sisteme. Velika imena v industriji obljubljajo celovito zaščito, centralizirano spremljanje in takojšnje odkrivanje groženj. Vendar najnovejše raziskave razkrivajo, da večina teh sistemov spregleda kar 79 % znanih napadalnih tehnik.
Toda tukaj se zgodba šele začne. Medtem ko vaš SIEM morda zbira podatke iz 259 različnih virov in upravlja skoraj 24.000 zabeleženih zapisov, napadalci s pomočjo AI ustvarjajo napade, ki jih tradicionalni sistemi preprosto ne morejo zaznati.
SIEM (Security Information and Event Management) je varnostna platforma, ki zbira in analizira podatke iz celotne IT infrastrukture – od strežnikov, omrežnih naprav, aplikacij do končnih točk uporabnikov. V teoriji bi moral delovati kot osrednji nadzorni center, ki v realnem času zazna sumljive aktivnosti in opozori na morebitne napade. V praksi pa zgodba izgleda precej drugače.
Ko "centralizirano spremljanje" postane draga iluzija
CardinalOps je v svoji obsežni raziskavi za leto 2025 analiziral podatke iz več tisoč produkcijskih SIEM okolij – vključno s platformami Splunk, Microsoft Sentinel, IBM QRadar in drugimi. Ugotovitev: povprečen SIEM sistem pokriva zgolj 21 % napadalnih tehnik iz ogrodja MITRE ATT&CK.
MITRE ATT&CK je globalna baza znanja, ki dokumentira realne taktike in tehnike, ki jih napadalci uporabljajo v praksi. Gre za svojevrsten "katalog napadalnih metod" – od začetnega vdora v sistem, preko kraje podatkov, do izogibanja odkrivanju. Varnostne ekipe po celem svetu uporabljajo ta okvir za merjenje učinkovitosti svojih sistemov: če vaš SIEM ne zazna tehnik iz ATT&CK, ne bo zaznal niti resničnih napadov.
Podatki so jasni: napadalec lahko uporabi približno 150 različnih tehnik, ki jih vaš sistem preprosto ne bo zaznal. Še bolj zaskrbljujoče: 13 % obstoječih pravil v SIEM sploh ne deluje zaradi napačno konfiguriranih virov podatkov ali manjkajočih polj v zabeleženih zapisih.
Tu je resnična ironija situacije: SIEM sistemi že zdaj zbirajo dovolj podatkov za pokritje več kot 90 % tehnik napadov. Problem ni v količini podatkov. Problem je v tem, kako te podatke analiziramo in interpretiramo.
Zakaj 259 virov podatkov ni dovolj?
Vaš SIEM morda procesira zavidljivo količino informacij, vendar brez ustrezne logike zaznavanja in korelacije ti podatki ostajajo zgolj shranjeni zapisi na strežnikih. SIEM je bil razvit kot sistem za upravljanje dnevnikov, namenjen skladnosti s predpisi. Nikoli ni bil zasnovan kot sistem za odkrivanje in odzivanje na napredne grožnje.
Ko gre nekaj narobe, se varnostne ekipe znajdejo v morju opozoril. Raziskava iz leta 2023 je pokazala, da 63 % ekip za izboljšanje kibernetske varnosti redno ignorira opozorila zaradi preobremenjenosti. V tem hrupu lahko resne grožnje zlahka ostanejo neopažene tedne ali celo mesece.
Napadalci ne čakajo na vaša pravila
Medtem ko se varnostne ekipe trudijo nadgraditi pravila zaznavanja in prilagoditi svoje SIEM sisteme, napadalci uporabljajo popolnoma novo orožje: umetno inteligenco.
Podatki za leto 2025 razkrivajo alarmanten trend:
- 87 % organizacij po svetu je v zadnjem letu doživelo AI-gnani kibernetski napad,
- 82,6 % phishing e-sporočil zdaj uporablja AI tehnologijo,
- 72 % porast AI-omogočenih incidentov v primerjavi s prejšnjim letom,
- 68 % analitikov kibernetskih groženj poroča, da so AI-generirani phishing napadi težje zaznavni kot kdaj koli prej.
Umetna inteligenca napadalcem omogoča ustvarjanje vsebin, ki so slovnično brezhibne, kontekstualno ustrezne in osebno prilagojene. Tradicionalni SIEM sistemi, ki temeljijo na statičnih pravilih in vzorcih, preprosto ne morejo slediti takšni dinamiki.
Deepfake napadi: nova realnost
V prvih treh mesecih leta 2025 je bilo 19 % več deepfake incidentov kot v celotnem letu 2024. Britanska inženirska družba Arup je bila žrtev sofisticiranega napada, kjer so kriminalci uporabili AI-generirane klone vodilnih direktorjev na videokonferenci in prepričali finančnega uslužbenca k nakazilu 25 milijonov dolarjev.
Takšne napade tradicionalni SIEM sistemi ne morejo prepoznati. Zapisi bodo pokazali običajno vedenje – legitimne prijave, standardne transakcije, rutinske operacije. Vse bo izgledalo povsem normalno.
Ko se AI bori z AI
Rešitev ni v zbiranju še več podatkov ali dodajanju še več pravil v vaš SIEM. Rešitev je v uporabi tehnologij, ki temeljijo na isti osnovi kot napadi sami: umetni inteligenci.
Extended Detection and Response (XDR) in Endpoint Detection and Response (EDR) sistemi uporabljajo napredne algoritme strojnega učenja, ki lahko:
- zaznavajo vedenjske anomalije v realnem času: namesto iskanja znanih vzorcev ti sistemi razumejo normalno vedenje v vašem okolju in zaznavajo odstopanja.
- Korelirajo dogodke iz več virov: XDR združuje podatke iz končnih točk, omrežja, oblaka in identitet, kar omogoča celovit pogled na grožnje, ki se raztezajo čez več plasti infrastrukture.
- Se prilagajajo novim grožnjam: sistemi na osnovi AI se učijo iz vsakega napada in nenehno izboljšujejo svoje zaznavne sposobnosti.
Raziskave kažejo impresivne rezultate:
- organizacije z AI-varnostnimi sistemi zaznajo in zadržijo data breaches 108 dni hitreje kot druge.
- 70 % kibernetskih strokovnjakov poroča, da je AI izjemno učinkovit pri zaznavanju groženj, ki bi sicer ostale neopažene.
Zaščitite svoje podjetje >
Microsoft Defender: moderna zaščita za moderno grožnjo
Za podjetja, ki uporabljajo Microsoft okolje, Microsoft Defender for Endpoint ponuja rešitev, ki združuje EDR funkcionalnost z zmogljivo integracijo v širši Microsoft ekosistem.
V MITRE ATT&CK evalvacijah je Microsoft 365 Defender dosegel 86,7 8 % stopnjo zaznavanja – bistveno več kot tradicionalni SIEM sistemi. Kar je še pomembneje, sistem deluje kot del večje platforme Microsoft Defender XDR, ki avtomatsko korelira opozorila iz e-pošte, identitet, končnih točk in aplikacij.
Prednosti takšnega pristopa so očitne:
- avtomatizirano odzivanje na grožnje brez človeškega posredovanja,
- globoka integracija z Azure Active Directory za zaščito identitet,
- Cloud-native arhitektura, ki ne zahteva dodatne infrastrukture,
- neprekinjeno učenje iz globalnega omrežja groženj.
Pomembno je razumeti, da gre za dopolnitev, ne zamenjavo obstoječih sistemov. SIEM ohranja svojo vlogo pri skladnosti, hranjenju dnevnikov in forenzični analizi. Vendar za zanesljivo odkrivanje in odzivanje na sodobne grožnje potrebujemo rešitve, ki govorijo isti jezik kot napadalci: jezik umetne inteligence.
Več o naši rešitvi varnosti >
Trije koraki do učinkovitejše zaščite
- Ocenite svojo pokritost: uporabite ogrodje MITRE ATT&CK za analizo, katere tehnike vaš trenutni sistem dejansko zazna. Rezultati bodo verjetno presenetljivi.
- Implementirajte AI-gnano zaščito: EDR in XDR rešitve so danes dostopne tudi manjšim podjetjem. Ne gre več za vprašanje velikih naložb, temveč za odločitev, katere dele infrastrukture želite zaščititi najprej.
- Oblikujte večplastno obrambo: SIEM za skladnost in hranjenje, XDR za široko pokritost groženj, EDR za globoko zaščito končnih točk. Vsaka tehnologija ima svojo vlogo.
Čas je za realen pogled na varnost
Ko napadalci dnevno izvajajo povprečno 2.200 napadov po svetu in ko 40 % vseh kibernetskih napadov uporablja AI tehnologijo, se moramo vprašati: ali naša obramba sledi tem spremembam?
Podatki kažejo jasno sliko. SIEM sistemi imajo pomembno vlogo v IT infrastrukturi, vendar zanašanje izključno nanje v današnjem okolju ni več sprejemljiva strategija. Grožnje so se razvile. Tehnologija obrambe se mora razviti z njimi.
Vprašanje ni, ali boste posodobili svoje sisteme odkrivanja groženj. Vprašanje je, ali boste to storili pred napadom ali po njem.
Želite izvedeti več o tem, kako lahko učinkovito zaščitite svoje okolje pred sodobnimi grožnjami? Kontaktirajte nas za analizo vaše trenutne varnostne infrastrukture.
Kontaktirajte nas za več informacij >
Vira:
- Fortinet, 2025 Global Threat Landscape Report
- CardinalOps, 2025 State of SIEM Report