Ethical Hacking Report 2024: Šest zranitelností v téměř každém testovaném systému

V roce 2024 jsme provedli téměř 500 penetračních testů, během kterých jsme odhalili 2 820 zranitelností napříč webovými aplikacemi, infrastrukturou, cloudovým prostředím a mobilními platformami. Tennto report přináší jasný pohled na kyberbezpečnostní situaci, jak ji vidíme my – očima certifikovaných etických hackerů, jejichž misí je odhalit slabiny dříve, než je zneužijí útočníci. V Citadelo nás posouvá dopředu vize bezpečnějšího digitálního světa, ve kterém není místo pro black hat hackery.

Testování bank i technologických startupů odhalilo nepříjemnou pravdu: kritické zranitelnosti jsou běžnější, než si většina lidí myslí. Na základě více než 468 provedených penetračních testů v roce 2024 jsme identifikovali u našich klientů celkem 2 820 zranitelností různé závažnosti. Kritické chyby jsme objevili přibližně u 30 % všech testovaných projektů a téměř každý systém obsahoval alespoň jednu středně závažnou zranitelnost. Průměrně měl každý systém šest slabin. Tato zjištění potvrzují, že organizace napříč sektory stále čelí významným kybernetickým hrozbám.

Následující graf přináší přehled testů provedených společností Citadelo v roce 2024:

Celý report si stáhněte zde.

“Na první pohled může počet zjištěných zranitelností vypadat děsivě. Já to ale vidím jinak – podařilo se nám odhalit tisíce slabin dříve, než je mohli zneužít skuteční hackeři,” říká Tomáš Zaťko, CEO Citadelo. “Navíc počet kritických zranitelností klesl o 20 %. To jasně ukazuje, že pouze pravidelné testování poskytuje organizacím skutečnou ochranu před kyberútoky.”

Tento graf ukazuje rozdělení typů zranitelností, které jsme během testování identifikovali.

Naše zjištění ukazují, že webové aplikace, infrastruktura a cloudové prostředí jsou stále nejčastějšími a nejkritičtějšími zdroji zranitelností. Mnoho firem stále podceňuje základní bezpečnostní postupy, jako je správná konfigurace systémů, pravidelné aktualizace a řízení přístupu.

Z hlediska odvětví dominoval sektor bankovnictví a financí, který tvořil více než 56 % všech projektů. Následovaly společnosti v oblasti systémové integrace, telekomunikací, vývoje softwaru a energetiky.

V následující části se podíváme podrobněji na čísla, typy zranitelností a opakující se chyby, které by neměly být přehlížené.

Webové aplikace: Zdroj kritických zranitelností

Podle našich dat byly webové aplikace nejčastěji testovaným typem projektů v roce 2024 a současně obsahovaly nejvyšší počet zranitelností – včetně největšího podílu kritických chyb.

Podle serveru Statista tvoří útoky pomocí SQL injekce nejčastější globální hrozbu a představují 23 % kritických zranitelností ve webových aplikacích. Mezi další běžné problémy patří XSS (cross-site scripting), chybná autentizace a špatně nakonfigurované servery. Pokud útočník zneužije kritickou zranitelnost, může získat přístup k interním systémům, uživatelským datům nebo administrátorskému rozhraní – což vede nejen k finančním ztrátám, ale také k poškození důvěry zákazníků a možným právním důsledkům.

Mobilní aplikace: Proč nestačí testování na straně serveru

Mobilní aplikace představují rostoucí výzvu v oblasti kyberbezpečnosti, zejména kvůli širokému využití a přístupu k citlivým datům. V roce 2024 jsme zaznamenali výrazný nárůst počtu odhalených zranitelností v mobilních projektech.

Analýza často odhalila mnoho méně závažných zranitelností, zejména v klientských komponentech (např. balíčky APK/AAB nebo IPA). I když nejsou okamžitě zneužitelné, mohou sloužit jako vstupní brány pro další útoky.

Běžné problémy zahrnují slabé šifrování dat, špatnou autentizaci uživatelů a nedostatečnou ochranu proti reverznímu inženýrství. Tyto chyby mohou útočníkům umožnit přístup k interním API, extrahování citlivých dat ze zařízení nebo manipulaci s logikou aplikace.

Ačkoliv mobilní aplikace obsahovaly méně kritických zranitelností než webové aplikace, rozhodně to neznamená, že jsou méně rizikové. Naopak – protože jsou přímo v rukou uživatelů a často mají přístup k osobním nebo finančním údajům, musí být pravidelně testovány a důsledně zabezpečeny.

Cloudové prostředí: Rostoucí cíl kyberútoků

Cloudové projekty jsou dnes běžnou součástí firemní IT infrastruktury, ale jejich bezpečnost je často podceňována.

V roce 2025 se bezpečnost cloudu stává jedním z nejdůležitějších trendů v kyberbezpečnosti. Firmy po celém světě čelí rostoucímu počtu útoků zaměřených na cloudové infrastruktury, což vede k výraznému zvýšení investic do ochrany cloudu. Podle zprávy Fortinet plánuje 63 % organizací zvýšit rozpočet na bezpečnost cloudu v příštím roce, přičemž cloud tvoří zhruba 35 % celkových IT bezpečnostních výdajů.

Mnoho firem se mylně spoléhá na základní audity poskytované cloudovými poskytovateli a věří, že jsou dostačující. Tento falešný pocit bezpečí způsobuje přehlížení vážných zranitelností. V našich testech za rok 2024 jsme v cloudových projektech zaznamenali 345 zranitelností – což je významný podíl z celkových 2 820 nálezů.

Interní infrastruktura: Přehlížená oblast bezpečnosti

Bezpečnost IT infrastruktury je další klíčovou, avšak často opomíjenou oblastí firemní kyberbezpečnosti. Ačkoliv infrastruktura tvořila pouze 7,7 % všech testů v roce 2024, zaznamenali jsme zde druhý nejvyšší počet kritických zranitelností.

Firmy často předpokládají, že izolované systémy bez připojení k internetu jsou bezpečné. V důsledku toho v těchto prostředích často chybí adekvátní ochrana.

Ani offline infrastruktura však není bezpečná. Útočníci mohou tyto systémy napadnout prostřednictvím kompromitovaných zařízení zaměstnanců – například skrze phishing nebo infikované e-mailové přílohy. Jediný infikovaný notebook připojený k síti se může stát vstupní branou pro masivní útok.

Naše testy odhalují nejen technické zranitelnosti, ale i procesní nedostatky – například špatnou segmentaci přístupových práv a chybějící monitoring systémů.

Sociální inženýrství: Zaměstnanci zůstávají nejslabším článkem

Sociální inženýrství je stále jednou z nejrozšířenějších kybernetických hrozeb. Útočníci cílí na lidské chování, protože i nejbezpečnější infrastruktura se stává zranitelnou, když zaměstnanec klikne na škodlivý odkaz nebo stáhne infikovaný soubor.

V roce 2025 tyto útoky dále sofistikují. Díky široké dostupnosti velkých jazykových modelů dokážou kyberzločinci generovat personalizované, gramaticky bezchybné phishingové e-maily. Na vzestupu je také vishing (hlasový phishing) a smishing (phishing za pomocí SMS).

Navzdory rostoucí hrozbě jsme v roce 2024 zaznamenali pokles poptávky po testech sociálního inženýrství. To je škoda, protože naše data ukazují, že účastníci prvního testu byli úspěšně napadeni až ve 40 % případů. Organizace, které pravidelně testují a školí své zaměstnance, však dokážou úspěšnost phishingových útoků snížit na nízká jednotková procenta.

Kyberbezpečnostní trendy v roce 2025: Klíčová rizika a jak jim čelit

Co nás čeká v roce 2025? Kromě rostoucího zájmu útočníků o cloudové prostředí vidíme velký růst významu Threat-Led Penetration Testing (TLPT) a testování bezpečnosti velkých jazykových modelů (LLM).

Testování jazykových modelů: Jak zabezpečit data při využívání generativní AI

Velké jazykové modely, jako ChatGPT, se v roce 2024 staly běžnou součástí firemních nástrojů a workflow. Tato rychlá adopce však přináší nová bezpečnostní rizika.

Zranitelnosti LLM se liší od tradičních IT slabin. Například prompt injection umožňuje útočníkům manipulovat s vstupními daty tak, aby model změnil své chování nebo odhalil neveřejné informace. Dalším rizikem je poisoning dat, kdy útočníci manipulují trénovací data modelu – což může vést k dezinformacím nebo škodlivým doporučením.

Náš přístup k testování LLM se zaměřuje nejen na technickou bezpečnost modelu, ale také na zabezpečení jeho implementace, ochranu vstupních a výstupních rozhraní a prevenci neoprávněného přístupu.

Threat-Led Penetration Testing: Regulovaná simulace reálných útoků

Threat-Led Penetration Testing (TLPT) představuje další úroveň penetračního testování, zejména v regulovaných odvětvích jako bankovnictví a pojišťovnictví. V roce 2025 se očekává, že TLPT se stane klíčovou metodou ověřování odolnosti organizací vůči reálným útokům.

Na rozdíl od tradičního testování je TLPT založeno na aktuálních hrozbách a simuluje útoky způsobem, jakým by je prováděli skuteční útočníci. Tento přístup se řídí rámcem TIBER-EU, který stanovuje metodiku a požadavky na koordinaci mezi testovanou organizací, bezpečnostním týmem a regulátory.

Citadelo je připraveno podporovat velké instituce při zavádění TLPT a pomoci jim posílit obranu tam, kde je to nejdůležitější.

Závěry Ethical Hacking Reportu 2024 jsou jasné: žádná organizace není imunní vůči kybernetickým rizikům. S průměrem šesti zranitelností na systém a kritickými chybami ve většině prostředí už kyberbezpečnost nemůže být vnímána jako reaktivní funkce.

Klíčem k překonání výzev roku 2025 je pravidelné, strukturované testování. Firmy, které testují a adaptují svou obranu, zaznamenávají výrazné snížení počtu kritických zranitelností a zvyšují svou odolnost vůči reálným hrozbám.

Chcete vědět, kolik zranitelností je ve vašem systému? Kontaktujte nás ještě dnes a proměňte své slabiny ve své silné stránky!