What percentage of breaches now exploit technical vulnerabilities according to the DBIR 2026?

The Verizon DBIR 2026 reports that 31% of breaches involve the exploitation of technical vulnerabilities.

Why are attackers shifting toward exploiting technical vulnerabilities instead of relying on phishing?

Exploiting unpatched software, misconfigurations, and exposed services provides quieter, direct access without needing to trick a human.

Why does the article suggest the actual exploitation percentage might be higher than 31%?

Many smaller organizations lack the forensic capability to accurately determine the initial access method, so vulnerability exploitation is likely undercounted.

What factors are expected to drive the vulnerability exploitation percentage even higher?

Attacker tooling is more accessible, organizations patch too slowly, attack surfaces grow with cloud and IoT, and supply chain attacks amplify the impact of a single overlooked vulnerability.

What did security analyst Matthew Rosenquist say about the 31% figure?

He noted that this percentage is likely to continue rising due to converging forces like easier attacker tooling and widening remediation gaps.

DBIR 2026: 31% dintre breșe exploatează acum vulnerabilități tehnice

Cel mai recent Verizon Data Breach Investigations Report (DBIR) pentru 2026 pune o cifră exactă pe o problemă pe care profesioniștii în securitate o urmăresc de ani de zile: 31% dintre breșe implică acum exploatarea vulnerabilităților tehnice. Această cifră nu este doar un punct de date. Ea semnalează o schimbare structurală în modul în care operează atacatorii și în ceea ce trebuie să prioritizeze apărătorii. Pentru persoanele și organizațiile cărora le pasă de confidențialitate, implicațiile sunt directe și acționabile.

Ce dezvăluie de fapt cifrele DBIR 2026 despre exploatarea vulnerabilităților

DBIR este cel mai citat raport anual privind breșele din industrie de aproape două decenii, bazându-se pe date reale despre incidente din mii de breșe confirmate. Concluzia ediției din 2026, potrivit căreia aproape o treime dintre breșe provin din exploatarea vulnerabilităților tehnice, este semnificativă din mai multe motive.

În primul rând, reflectă o schimbare deliberată în metodologia atacatorilor. În loc să se bazeze exclusiv pe phishing sau furtul de credențiale, actorii amenințărilor vizează tot mai mult software-ul neactualizat, sistemele configurate greșit și serviciile de rețea expuse. Acestea sunt puncte de intrare mai silențioase. Nu mai este nevoie să păcălești un om atunci când un CVE cunoscut, lăsat nepatchuit săptămâni întregi, oferă acces direct.

În al doilea rând, această cifră capturează efectul cumulativ al unei suprafețe de atac în creștere. Pe măsură ce organizațiile adaugă mai multe servicii cloud, instrumente de acces la distanță și dispozitive conectate la internet, numărul componentelor exploatabile se multiplică. Fiecare punct terminal negestionat sau ciclu de patch-uri amânat este o potențială ușă lăsată întredeschisă.

Cifra de 31% subestimează aproape sigur amploarea reală, deoarece multor organizații mai mici le lipsește capacitatea de investigație pentru a identifica cu exactitate modul în care un atacator a obținut inițial accesul.

De ce se așteaptă ca procentul de 31% să continue să crească

Analistul de securitate Matthew Rosenquist, comentând datele DBIR 2026, a remarcat că acest procent va continua probabil să crească. Raționamentul este simplu odată ce iei în considerare câteva forțe convergente.

Instrumentarul atacatorilor a devenit mai accesibil. Kiturile de exploit, scanerele de vulnerabilități și chiar instrumentele de recunoaștere asistate de AI sunt disponibile pe scară largă pentru actori cu sofisticare redusă, care anterior nu puteau efectua intruziuni complexe din punct de vedere tehnic. Bariera pentru exploatarea unei vulnerabilități cunoscute nu a fost niciodată mai scăzută.

În același timp, ritmul actualizărilor software din interiorul organizațiilor nu a ținut pasul cu ritmul în care sunt dezvăluite noile vulnerabilități. Echipele de securitate sunt suprasolicitate, testarea patch-urilor necesită timp, iar sistemele vechi de multe ori nu pot fi actualizate fără perturbări semnificative. Acest decalaj dintre dezvăluire și remediere este exact fereastra pe care o exploatează atacatorii.

Creșterea atacurilor asupra lanțului de aprovizionare adaugă un alt nivel. Atunci când o vulnerabilitate există într-o bibliotecă utilizată pe scară largă sau într-o componentă software terță, o singură instanță nepatchuită poate compromite sute de organizații din aval simultan. Raza de explozie a unui CVE trecut cu vederea a crescut considerabil.

Consecințele reale ale acestei tendințe sunt vizibile incident după incident. Atacatorii care obțin acces la date sensibile exploatând vulnerabilități dezvăluite public nu mai sunt un caz marginal. Este, conform DBIR, un vector principal de atac. Cazuri de profil înalt precum arestarea unui hacker în Spania care a exfiltrat date de la poliție și instituții naționale de securitate cibernetică ilustrează cât de devastatoare pot fi aceste breșe odată ce un atacator a pătruns într-o rețea.

Cum se integrează VPN-urile și segmentarea rețelei într-o strategie de apărare stratificată

Niciun control unic nu oprește exploatarea vulnerabilităților tehnice. Tocmai de aceea comunitatea de securitate revine constant la conceptul de apărare în profunzime: stratificarea mai multor controale astfel încât o defecțiune într-unul să nu se transforme într-o breșă completă.

VPN-urile joacă un rol specific și important în acest ansamblu. Prin criptarea traficului între punctele terminale și rețelele la care se conectează, un VPN limitează capacitatea unui atacator care s-ar putea să aibă deja un punct de sprijin în rețea de a intercepta credențiale, tokenuri de sesiune sau date sensibile în tranzit. Pentru lucrătorii la distanță care se conectează la resursele organizaționale, un VPN restrânge, de asemenea, suprafața de atac prin rutarea traficului printr-un gateway controlat, mai degrabă decât expunerea directă a serviciilor interne pe internetul public.

Segmentarea rețelei completează acest lucru prin limitarea daunelor în cazul în care un atacator exploatează o vulnerabilitate. Dacă un dispozitiv vulnerabil este compromis, dar se află într-un segment de rețea izolat, mișcarea laterală către sistemele sensibile devine semnificativ mai dificilă. Combinată cu controale stricte de acces și principiile privilegiului minim, segmentarea limitează ceea ce poate atinge un atacator chiar și după o exploatare inițială reușită.

Disciplina de aplicare a patch-urilor rămâne cea mai directă contramăsură. Reducerea ferestrei dintre dezvăluirea vulnerabilității și implementarea patch-ului este acțiunea cu cel mai mare impact pe care o organizație o poate întreprinde pentru a aborda tendința identificată de DBIR.

Pași practici pe care utilizatorii preocupați de confidențialitate îi pot face chiar acum

Pentru utilizatorii individuali și organizațiile mai mici fără echipe de securitate dedicate, concluziile DBIR se traduc într-o listă de verificare gestionabilă.

Auditează-ți ritmul de actualizare a software-ului și firmware-ului. Routerele, dispozitivele NAS, clienții VPN, sistemele de operare și browserele au toate nevoie de actualizări regulate. Activează actualizările automate acolo unde este posibil. Pentru dispozitivele care nu acceptă actualizarea automată, setează un memento recurent pentru a verifica manual.

Revizuiește configurația VPN. Dacă folosești un VPN pentru munca la distanță sau confidențialitate personală, asigură-te că software-ul clientului însuși este actualizat. Un client VPN învechit, cu o vulnerabilitate cunoscută, este o povară, nu o protecție.

Segmentează rețeaua de acasă sau a biroului mic. Majoritatea routerelor moderne acceptă o rețea pentru oaspeți sau funcționalități VLAN. Izolarea dispozitivelor smart home și a echipamentelor IoT de dispozitivele principale de calcul reduce riscul ca un dispozitiv inteligent vulnerabil să devină un punct de pivotare către sistemele tale mai sensibile.

Reduce suprafața de atac expusă. Dezactivează funcțiile de acces la distanță pe dispozitivele care nu au nevoie de ele. Închide porturile care nu sunt utilizate activ. Auditează ce servicii sunt accesibile de pe internet.

Folosește autentificarea multi-factor pe toate conturile critice. Chiar și atunci când exploatarea vulnerabilităților ocolește procesul de autentificare, MFA poate bloca compromiterea ulterioară a contului din cauza credențialelor furate.

Datele DBIR 2026 sunt un semnal clar: exploatarea vulnerabilităților tehnice nu este o preocupare de nișă rezervată echipelor de securitate ale întreprinderilor. Este calea de atac preferată pentru o parte tot mai mare a actorilor amenințărilor. Revizuirea actualului tău set de măsuri de securitate, inclusiv configurația VPN, obiceiurile de aplicare a patch-urilor și modul în care este segmentată rețeaua, este cel mai direct răspuns la ceea ce ne spun datele. Cifra de 31% arată clar că această revizuire este întârziată pentru majoritatea utilizatorilor și organizațiilor.