Компанія Sophos випустила звіт “Active Adversary Report 2026”, який базується на аналізі сотень реальних інцидентів. Головний висновок: 67% усіх успішних атак починалися з компрометації ідентифікаційних даних. Хакери більше не “зламують” системи, вони просто “входять” у них, використовуючи вкрадені токени або результати витонченого фішингу.

Дослідники також виявили, що середній час доступу до Active Directory після початкового проникнення скоротився до рекордних 3 годин 24 хвилин. Це означає, що захисники мають критично мало часу на реагування, що вимагає впровадження систем поведінкового аналізу, які можуть розпізнати зловмисника навіть під виглядом легітимного користувача.