Dwell Time: Dlaczego Hakerzy Przebywają w Twojej Sieci Średnio 11 Dni Niezauważeni?
Wyobraź sobie scenariusz rodem z klasycznego dreszczowca. Wchodzisz do swojego domu po długim dniu pracy. Wszystko wydaje się być na swoim miejscu: klucze leżą na komodzie, ulubiony kubek stoi w zlewie, a na kanapie drzemie kot. Czujesz się bezpiecznie.
Nie masz jednak pojęcia, że od dwóch tygodni na twoim strychu mieszka nieproszony gość.
Korzysta z twojego Wi-Fi, podjada twoje zapasy, gdy jesteś w biurze, i metodycznie przegląda twoje dokumenty, kiedy śpisz. Nie wybił szyby, nie wyważył drzwi. Po prostu znalazł klucz, który zostawiłeś pod wycieraczką.
W świecie cyberbezpieczeństwa ta metafora nie jest przesadą — to codzienność, z którą mierzą się działy IT na całym świecie.
Czym jest dwell time?
Ten okres, w którym intruz przebywa wewnątrz sieci niezauważony, ma swoją profesjonalną nazwę: dwell time (czas przebywania). Jest to jedna z najbardziej frustrujących i kosztownych metryk w całej branży bezpieczeństwa cyfrowego.
Mimo że firmy wydają miliardy dolarów na firewalle nowej generacji, systemy detekcji oparte na sztucznej inteligencji i armie konsultantów, hakerzy wciąż potrafią pozostawać niewidzialni przez dni, tygodnie, a w skrajnych przypadkach nawet miesiące.
Dlaczego to ma znaczenie? Im dłuższy dwell time, tym więcej danych haker może wykraść i tym głębiej może się zakorzenić w systemie. W kontekście wymogów dyrektywy NIS2, która nakłada obowiązek zgłoszenia incydentu w 24 godziny — każda minuta opóźnienia w wykryciu to potencjalnie ogromne kary.
Dwa światy: Sprinterzy i Maratończycy
Współczesna cyberprzestępczość podzieliła się na dwa odrębne nurty:
Sprinterzy (Ransomware)
Cyberprzestępcy nastawieni na szybki zysk. Dla nich czas to pieniądz w dosłownym tego słowa znaczeniu. Im szybciej zaszyfrują dane, tym mniejsza szansa, że ktoś ich powstrzyma.
Maratończycy (Szpiegostwo)
Domena szpiegostwa przemysłowego i kradzieży danych. Priorytetem jest dyskrecja. Im dłużej pozostają niezauważeni, tym więcej cennych informacji mogą wynieść.
Statystyki dwell time 2024/2025
| Źródło | Metryka | Wartość | Co to oznacza? |
|---|---|---|---|
| CrowdStrike | Czas do ekspansji ataku | 62 minuty | Masz godzinę na reakcję, zanim lokalny problem stanie się pożarem całej firmy |
| Sophos MDR | Czas wykrycia z usługą MDR | 1 dzień | Eksperci 24/7 usuwają intruza niemal natychmiast |
| Sophos IR | Czas wykrycia własnymi siłami | 7 dni | Wewnętrzne zespoły są znacznie wolniejsze |
| Mandiant | Globalna mediana dwell time | 11 dni | Statystyczny haker spędza w twojej sieci prawie dwa tygodnie |
| IBM | Czas identyfikacji wycieku | 194 dni | Ciche wycieki mogą pozostać niewykryte przez pół roku |
| Palo Alto | Czas do kradzieży danych | poniżej 5 godzin | W 25% przypadków dane są kopiowane w ciągu kilku godzin |
Wniosek jest brutalny: dwell time spada, ale czas potrzebny na wyrządzenie szkody spada jeszcze szybciej.
Najszybsi atakujący
W przypadku najszybszych grup przestępczych, czas breakout (od wejścia do rozprzestrzenienia się) wynosił nieco ponad 2 minuty. W takim scenariuszu tradycyjne metody reakcji oparte na ludzkiej interwencji są skazane na porażkę.
Polskie firmy pod ostrzałem
Sytuacja w Polsce jest odzwierciedleniem globalnych trendów, ale z lokalną specyfiką wynikającą z naszego położenia geopolitycznego.
Liczba domen wykorzystywanych do cyberataków:
- 2022: około 17 tysięcy
- 2024: ponad 51 tysięcy
To prawie czterokrotny wzrost w ciągu zaledwie dwóch lat.
Polskie firmy są atakowane średnio ponad 250 razy tygodniowo, co stawia nas w niechlubnej czołówce celów w Unii Europejskiej. W kontekście nadchodzących kar z nowelizacji UKSC (do 10 mln EUR), brak szybkiego wykrywania incydentów może okazać się bardzo kosztowny.
Dlaczego systemy alarmowe milczą?
Skoro firmy są uzbrojone po zęby (antywirusy, firewalle, IPS, IDS, EDR, SIEM…), dlaczego intruz potrafi przemykać niezauważony?
Odpowiedź: Hakerzy przestali zachowywać się jak barbarzyńcy wyważający bramę taranem. Dziś zachowują się jak ninja — lub, co bardziej trafne, jak nieuczciwi administratorzy systemów.
Living off the Land (LotL) — życie na koszt ofiary
Wyobraź sobie włamywacza, który wchodząc do twojego domu, nie przynosi ze sobą łomu. Wchodzi przez otwarte okno, idzie do kuchni, bierze twój nóż do krojenia chleba i używa go do otwarcia zamkniętej szafki.
Jeśli zatrzyma go policja, on pokaże nóż i powie: “Przecież to jest nóż kuchenny, każdy w tym domu go używa”.
62% atakujących używa technik LotL — wykorzystują legalne, zaufane narzędzia już zainstalowane w systemie:
- PowerShell — potężne narzędzie do automatyzacji. Administratorzy go uwielbiają. Hakerzy też.
- WMI — mechanizm zarządzania komputerami w sieci. Ciche, wbudowane, rzadko blokowane.
- RDP — Pulpit zdalny. W 2024 roku zaangażowany w 84% przypadków badanych przez Sophos.
Jak odróżnić księgową pracującą z domu o 22:00 od hakera z innego kontynentu, który używa jej loginu? Bez zaawansowanej analizy zachowań jest to niemal niemożliwe.
Ataki bezplikowe — widma w maszynie
Tradycyjny antywirus działa jak bibliotekarz sprawdzający każdą nową książkę. Jeśli tytuł jest na liście zakazanych — wyrzuca ją.
Hakerzy wpadli na genialny pomysł: nie wnośmy książek.
Ataki bezplikowe operują wyłącznie w pamięci RAM, nie zapisując niczego na dysku. Po restarcie ślad znika.
Według CrowdStrike, 75% prób uzyskania dostępu w 2024 roku odbyło się bez użycia tradycyjnego malware’u.
Shadow IT — otwarte tylne drzwi
W erze pracy hybrydowej pracownicy szukają wygody:
- Firmowy system transferu plików jest wolny? Prywatne Google Drive.
- Trzeba przerobić PDF? Darmowy konwerter online.
- Testowanie kodu? Nieautoryzowana chmura.
Statystyki są zatrważające: 30-40% wydatków na IT to wydatki “cienia” (poza kontrolą), a 83% pracowników przechowuje dane firmowe na nieautoryzowanych usługach.
Budujemy fortecę z fosą i mostem zwodzonym, a pracownicy spuszczają drabinę sznurową z tylnego okna, żeby kurier z pizzą miał łatwiej.
Alert Fatigue — chłopiec, który wołał “Wilk!”
Wyobraź sobie, że pracujesz w wieży kontrolnej na lotnisku. Twój radar piszczy 500 razy na godzinę. 499 razy to fałszywy alarm — ptak, chmura, błąd czujnika.
Po miesiącu takiej pracy twój mózg zacznie ignorować piszczenie.
To jest zjawisko Alert Fatigue. Nowoczesne systemy bezpieczeństwa generują tysiące powiadomień dziennie. Badania pokazują, że ponad 50% czasu analityków jest marnowane na przeglądanie fałszywych alarmów.
Skutki:
- Analitycy przestają traktować alerty poważnie
- Prawdziwy, krytyczny alert ginie w tłumie błahych powiadomień
- Hakerzy celowo generują “szum” w jednej części sieci, żeby zmęczyć analityków
Ile kosztuje długi dwell time?
Średni koszt wycieku danych w 2024 roku osiągnął rekordowe 4,88 miliona dolarów — wzrost o 10% rok do roku.
Dlaczego czas wykrycia jest tak powiązany z kosztem?
- Dłuższy czas = więcej danych — im dłużej haker jest w sieci, tym więcej znajdzie
- Dłuższy czas = głębsze zakorzenienie — haker z miesiącem stworzy dziesiątki tylnych furtek
- Szantaż i reputacja — firmy tracą zaufanie klientów
Zastosowanie sztucznej inteligencji w obronie obniża koszt wycieku średnio o 2,2 miliona dolarów.
Przegląd arsenału obrońcy
| Narzędzie | Co chroni? | Główna zaleta | Główna wada |
|---|---|---|---|
| Antywirus (AV) | Pliki na dysku | Tani, prosty | Ślepy na nowe ataki |
| EDR | Komputery i serwery | Wykrywa zachowania | Wymaga eksperta |
| SIEM | Cała infrastruktura | Widzi szeroki kontekst | Drogi, trudny |
| MDR (Usługa) | Cała firma 24/7 | Błyskawiczna reakcja | Kosztowny abonament |
| Canary tokens | Krytyczne zasoby | Natychmiastowy alert | Wymaga rozmieszczenia |
Jak skrócić dwell time?
Incydenty są wykrywane późno nie dlatego, że technologia jest zła, ale dlatego, że:
- Asymetria — haker musi znaleźć jedną dziurę, obrońca musi załatać wszystkie
- Kamuflaż — hakerzy używają naszych własnych narzędzi (LotL)
- Szum — ilość alertów przekracza możliwości człowieka
- Czynnik ludzki — brak kadr i Shadow IT otwierają drzwi
Klucz do przetrwania
W firmach stosujących nowoczesne podejście (MDR, XDR, AI) czas wykrycia spada do godzin lub pojedynczych dni.
Co działa:
- Założenie, że włamanie już nastąpiło (Threat Hunting)
- Inwestycja w widoczność (logi, EDR), nie tylko w blokady
- Edukacja pracowników, by byli “ludzkim firewallem”
- Systemy wczesnego ostrzegania (canary tokens) — natychmiastowy alert gdy ktoś dotknie krytycznych zasobów
Podsumowanie
W cyberprzestrzeni, tak jak w medycynie, wczesna diagnoza jest kluczem do przeżycia.
Hakerzy zawsze będą o krok przed nami. Naszym zadaniem jest sprawić, by ten krok był jak najkrótszy, a dwell time — jak najkrótszy.
Nie czekaj na katastrofę. Zacznij wykrywać zagrożenia, zanim wyrządzą szkody.
Chcesz skrócić dwell time do minimum? Zapisz się na listę oczekujących clev.one — prosty system wczesnego ostrzegania, który informuje Cię natychmiast gdy ktoś uzyskuje nieautoryzowany dostęp do Twoich danych.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz