Średni czas między pierwszym dostępem atakującego do systemu, a przejściem na kolejny komputer w sieci wynosił w 2025 roku 29 minut. W najszybszym odnotowanym przypadku było to 27 sekund. Te liczby pochodzą z CrowdStrike 2026 Global Threat Report i zmieniają założenie, na którym większość małych i średnich firm opiera swoje bezpieczeństwo: że na reakcję jest czas.
Zanim zauważysz, że coś się dzieje
W wielu firmach bez własnego działu security proces wygląda tak: administrator sprawdza logi rano, po weekendzie, albo dopiero gdy coś zacznie działać nietypowo, np. komputer wolniej odpowiada, użytkownik zgłasza podejrzany e-mail, faktura nie chce się otworzyć. To założenie, że atak zostanie zauważony z jakimś zapasem czasu, byłoby uzasadnione, gdyby przejęcie sieci trwało godziny albo dni.
CrowdStrike nazywa czas między pierwszym dostępem a ruchem bocznym w sieci „breakout time". To moment, w którym jeden zainfekowany komputer przestaje być incydentem lokalnym i staje się punktem wyjścia do przejęcia całej sieci. Według danych z 2026 Global Threat Report, w 2025 roku ten czas spadł średnio do 29 minut, co oznacza wzrost szybkości o 65% względem roku poprzedniego. Firma, która wykryje włamanie po 20 minutach i potrzebuje kolejnych 15 na eskalację do administratora, w praktyce już przegrała wyścig.
Co jeszcze pokazuje raport
29 minut i 27 sekund to liczby, które przykuwają uwagę, ale sam raport tłumaczy też, dlaczego tak się dzieje. Trzy elementy się na to nakładają:
-
82% detekcji w 2025 roku było malware-free - atakujący nie instalowali złośliwego oprogramowania, tylko wykorzystywali prawdziwe dane logowania, zaufane narzędzia administracyjne i legalne integracje SaaS. Włamanie wygląda jak normalna aktywność użytkownika, więc trudniej je złapać po sygnaturze czy anomalii w plikach.
-
89% wzrost liczby ataków realizowanych przez przeciwników korzystających z AI rok do roku - AI skraca czas między pomysłem na atak a jego wykonaniem, automatyzując rekonesans i część działań po uzyskaniu dostępu.
-
42% wzrost liczby luk zero-day wykorzystywanych przed publicznym ujawnieniem - atakujący coraz częściej mają działający exploit, zanim producent zdąży wydać poprawkę.
Raport odnotowuje też rekordową kradzież 1,46 mld USD w kryptowalutach (grupa PRESSURE CHOLLIMA, atak przez skompromitowane oprogramowanie w łańcuchu dostaw) oraz wzrost liczby śledzonych przez CrowdStrike aktorów zagrożeń do ponad 281, z 24 nowymi grupami nazwanymi w 2025 roku.
To nie jest problem tylko wielkich firm
Łatwo pomyśleć, że statystyki z raportu dotyczą korporacji i infrastruktury krytycznej, a mała firma z jednym administratorem nie jest wystarczająco interesującym celem, żeby ktoś poświęcał na nią 29 minut. Tylko że atak najczęściej nie sprawdza wielkości firmy przed wejściem do sieci. Wykorzystuje skradzione dane logowania, phishing albo podatność w urządzeniu brzegowym, niezależnie od tego, czy po drugiej stronie jest zespół SOC czy jedna osoba od IT.
Różnica nie jest w tym, czy firma zostanie zaatakowana szybciej lub wolniej. Różnica jest w tym, czy w momencie ataku ktoś (albo coś) zauważy ruch boczny w ciągu minut, a nie godzin. Mechanizm detekcji i automatycznej reakcji w platformie Falcon jest taki sam niezależnie od tego, czy firma korzysta z podstawowego modułu, czy z pełnego zestawu funkcji dla dużej organizacji. Różnica leży w zakresie modułów, nie w jakości samego wykrywania. To oznacza, że mała firma nie musi budować własnego zespołu monitorującego 24/7, żeby mieć realną szansę zareagować w oknie 29 minut - może zacząć od podstawowego zakresu ochrony i rozszerzać go, gdy rośnie albo zmieniają się potrzeby.
Co to znaczy w praktyce dla firmy bez własnego SOC
Przy oknie liczonym w minutach ręczne przeglądanie logów raz dziennie nie ma szans zadziałać na czas. W praktyce potrzebne są dwa elementy: widoczność w czasie rzeczywistym na endpointach (żeby ruch boczny był widoczny w momencie, w którym się dzieje) oraz zautomatyzowana reakcja, która nie czeka na to, aż administrator zobaczy alert i podejmie decyzję. Dla firmy bez własnego zespołu security to często oznacza skorzystanie z usługi zarządzanego wykrywania i reakcji (MDR) albo z modułu, który sam blokuje podejrzaną aktywność, zanim dojdzie do eskalacji na kolejny system.
To, że 82% detekcji w 2025 roku było malware-free, ma tu konkretne znaczenie praktyczne: ochrona oparta wyłącznie na skanowaniu plików i sygnaturach nie wystarczy. Potrzebna jest analiza zachowania tego, co robi konto i proces, nie tylko tego, czy plik jest znany jako złośliwy.
FAQ
Czym jest breakout time? Breakout time to czas między pierwszym dostępem atakującego do systemu a przejściem na kolejny komputer w tej samej sieci (ruch boczny). Według CrowdStrike 2026 Global Threat Report średni breakout time w 2025 roku wynosił 29 minut, a najszybszy odnotowany przypadek to 27 sekund.
Czy mała firma bez działu IT ma szansę zareagować w 29 minut? Bez automatyzacji i widoczności w czasie rzeczywistym - nie. Z odpowiednim modułem ochrony endpointów, który sam wykrywa i blokuje ruch boczny, albo z usługą typu MDR, reakcja w takim oknie czasowym jest realna nawet bez własnego zespołu monitorującego 24/7.
Dlaczego 82% ataków bez malware jest trudniejsze do wykrycia? Bo atak nie zawiera pliku, który można rozpoznać jako złośliwy. Atakujący używa prawdziwych danych logowania i zaufanych narzędzi, więc jego aktywność wygląda jak normalna praca użytkownika. Wykrycie wymaga analizy zachowania, nie skanowania plików.
Firma, która czeka na to, aż coś „wygląda podejrzanie", w 2025 roku miała na reakcję średnio 29 minut. Jeśli w Twojej organizacji nikt nie monitoruje tego w czasie rzeczywistym, to jest dobry moment, żeby to zmienić.