Zašto penetration test nije isto što i vulnerability scan?

Mnogi klijenti i dalje misle da su napravili penetration test jer su dobili sigurnosni izvještaj s popisom nalaza. U većini slučajeva radi se o vulnerability scanu. Na prvi pogled oba pristupa izgledaju slično. Oba imaju izvještaj, nalaze i preporuke. No ne odgovaraju na isto pitanje.

Vulnerability scan traži poznate tehničke slabosti. Detektira zastarjele verzije softvera, poznate CVE-ove i loše konfiguracije. Rezultat je lista nalaza. To je korisno kao početna slika, ali ne govori što ti nalazi znače u stvarnosti.

Penetration test ide dalje. Ne staje na identifikaciji slabosti, nego pokušava razumjeti što se s njima može napraviti. Nalazi se ne gledaju izolirano nego se povezuju, testiraju i procjenjuje se koliko daleko napadač može doći. Tu nastaje stvarna vrijednost. U praksi često vidimo okruženja gdje scan ne pokazuje kritične probleme, ali penetration test otkriva stvarni vektor napada. Ne zbog jedne velike ranjivosti, nego zbog kombinacije više manjih slabosti. Uzmimo situaciju sličnu onima koje se mogu vidjeti tijekom testiranja. Unutar web aplikacije ili izloženog direktorija pronađe se javno dostupan dokument. Sam dokument ne sadrži ništa što bi alat odmah označio kao kritično. Nema exploita, nema očite injekcije i nema visokorizičnog CVE-a. Iz perspektive scana to može djelovati nebitno.

Iz perspektive penetration testa to postaje početna točka. Ako dokument sadrži nazive internih servera, oznake okruženja, reference na shareove, backup putanje, domensku strukturu ili interne URL-ove, tada više ne gledamo samo dokument. Gledamo što se iz njega može saznati o arhitekturi sustava.

Ako je vidljiva naming konvencija servera, često se može pretpostaviti njihova uloga, primjerice domain controller, aplikacijski server ili storage sustav. Ako se vidi format korisničkih imena, to može pomoći u username enumerationu. Ako dokument otkriva interne URL-ove, mogu se tražiti dodatni endpointi koji nisu bili odmah vidljivi. Ako spominje domensku strukturu ili service accounte, dobiva se bolji uvid u način autentikacije.

Nakon toga testiranje ide dalje. Traže se vanjski dostupni servisi koji prate iste obrasce, ispituju se login mehanizmi i traže dodatne ulazne točke. Ono što je na početku izgledalo kao bezazlen dokument postaje koristan oslonac za daljnje kretanje kroz okruženje. Vulnerability scan takav kontekst ne razumije. Možda će evidentirati izloženu datoteku, a možda je neće ni označiti. Ono što sigurno neće napraviti jest povezati informacije i izgraditi scenarij kako bi ih stvarni napadač iskoristio. Penetration test upravo to radi.

Isto vrijedi za nalaze koji se često označavaju kao low ili medium. Jedan endpoint vraća previše informacija, drugi nema rate limit, a treći otkriva postoji li korisnik. Pojedinačno to ne mora izgledati kritično. Zajedno to može dovesti do kompromitacije računa ili eskalacije privilegija.

Tu je ključna razlika. Vulnerability scan pokazuje što bi moglo biti problem. Penetration test pokazuje što se stvarno može dogoditi.

A za poslovanje je to ono što je važno. Upravu ne zanima samo lista CVE-ova. Zanima ih može li netko doći do podataka, prekinuti uslugu ili kompromitirati račune. Bez tog konteksta izvještaj ostaje tehnički, ali ne i stvarno upotrebljiv.

Vulnerability scan ima svoju vrijednost i koristan je za tehničku higijenu i rano otkrivanje poznatih problema. Ali ne može zamijeniti penetration test. Kada se rezultat scana tumači kao potpuna sigurnosna procjena, često se stvara lažan osjećaj sigurnosti dok stvarni napadni putevi ostaju neotkriveni.

Ako želite ići dalje od rezultata scana, AresISEC penetration test može pomoći otkriti slabosti koje su stvarno važne u praksi.

Izvori:

OWASP – Web Security Testing Guide
NIST – Technical Guide to Information Security Testing and Assessment (SP 800-115)
SANS Institute – Penetration Testing vs. Vulnerability Assessment

Želite jasnu sliku stvarnog sigurnosnog rizika u vašem sustavu?

Sigurnosne vijesti tjedna [04/26-1]

Adobe Reader nulti dan iskorištavan mjesecima kroz zlonamjerne PDF datoteke
Istraživači navode da se zlonamjerni PDF koristi za iskorištavanje Adobe Reader nultog dana najmanje od prosinca, uključujući i sustave koji su bili ažurirani. Dokument pritom prikuplja podatke o okruženju, zloupotrebljava privilegirane Acrobat API pozive za krađu lokalnih podataka i može poslužiti kao uvod u daljnje izvršavanje koda ili bijeg iz sandboxa.
Izvor: BleepingComputer

Smart Slider 3 Pro kompromitiran kroz službeni kanal nadogradnje
Napadači su kompromitirali Nextendovu infrastrukturu za nadogradnje i kroz službeni kanal distribuirali trojaniziranu verziju dodatka Smart Slider 3 Pro za WordPress i Joomla stranice. Svaku stranicu koja je nadograđena na verziju 3.5.1.35 treba smatrati potencijalno kompromitiranom jer je zlonamjerna verzija instalirala više backdoor mehanizama, a nije se radilo samo o običnoj ranjivosti.
Izvor: Patchstack

Fortinet hitno zakrpao aktivno iskorištavan FortiClient EMS nulti dan
Fortinet je izdao hitne zakrpe za CVE-2026-35616 u FortiClient EMS proizvodu nakon potvrde aktivne eksploatacije u stvarnim napadima. Riječ je o kritičnom neautentificiranom propustu kontrole pristupa koji putem posebno oblikovanih zahtjeva može dovesti do udaljenog izvršavanja koda.
Izvor: SecurityWeek

Iranski akteri ciljaju Rockwell i Allen Bradley PLC uređaje
Američke agencije upozorile su da iranski povezani akteri aktivno ciljaju internetom izložene Rockwell Automation i Allen Bradley PLC uređaje unutar kritične infrastrukture. Aktivnost uključuje neovlašten pristup inženjerskim projektima i manipulaciju HMI ili SCADA podacima, a upozorenje te upade povezuje s operativnim prekidima i financijskim gubicima.
Izvor: Censys

Google upozorava na UNC6783 napade preko BPO pružatelja usluga
Google navodi da UNC6783 cilja pružatelje BPO usluga i help desk timove koji rade za tvrtke visoke vrijednosti, a zatim taj pristup koristi za krađu podataka njihovih klijenata. Kampanja se oslanja na social engineering i phishing, uključujući krađu support ticketa i identitetskih podataka koji se potom mogu koristiti za iznudu ili daljnji pristup.
Izvor: SecurityWeek

Napadači šire social engineering kampanju na ključne Node.js održavatelje
Socket je izvijestio da ista social engineering operacija koja je stajala iza kompromitacije Axiosa sada cilja i druge važne Node.js i npm održavatelje. Problem nije samo jedan incident s paketom nego obrazac napada usmjeren na račune visokog povjerenja koji mogu progurati zlonamjeran kod u široko korištene ovisnosti.
Izvor: Socket

React2Shell iskorišten za masovnu krađu vjerodajnica iz Next.js aplikacija
Talos je UAT-10608 opisao kao veliku automatiziranu operaciju krađe vjerodajnica koja iskorištava React2Shell u ranjivim Next.js aplikacijama. Nakon početnog pristupa napadači prikupljaju vjerodajnice, SSH ključeve, cloud tokene i tajne iz okruženja, čime svaku kompromitaciju pretvaraju u detaljnu kartu šire infrastrukture žrtve.
Izvor: Cisco Talos

Device code phishing naglo raste kako se novi kitovi šire internetom
Device code phishing snažno raste jer napadači zloupotrebljavaju OAuth device authorization tijek kako bi naveli korisnike da odobre sesije pod kontrolom napadača na legitimnim stranicama za prijavu. Novi kitovi ovu tehniku guraju prema široj kriminalnoj upotrebi jer ukradeni tokeni mogu zaobići klasično presretanje lozinki i produljiti pristup računu i nakon početnog phishing događaja.
Izvor: BleepingComputer

U Apache ActiveMQu zakrpan RCE propust star 13 godina
Apache ActiveMQ Classic zakrpao je CVE-2026-34197, RCE propust u Jolokia komponenti koji je u kodu postojao 13 godina. U nekim verzijama on može postati praktično neautentificiran kada se spoji s drugim propustom izloženosti, pa se administratorska funkcija pretvara u internetski dostupan put za izvršavanje koda.
Izvor: Horizon3.ai

Storm 1175 dodatno skraćuje vrijeme za obranu od Medusa ransomware napada
Microsoft navodi da Storm 1175 vrlo brzo iskorištava novootkrivene ranjivosti na webom izloženim sustavima kako bi isporučio Medusa ransomware, ponekad unutar 24 sata od početnog pristupa. Fokus grupe na kratki vremenski prozor nakon objave propusta znači da izloženi rubni sustavi mogu prijeći od N day izloženosti do eksfiltracije i enkripcije prije nego što uobičajeni obrambeni procesi stignu reagirati.
Izvor: Microsoft Security Blog

Sigurnosne vijesti dana [26/03/26]

Kineski hakeri otkriveni duboko u telekom backbone infrastrukturi
Istraživači su otkrili kineskog državnog aktera koji je implementirao kernel implantate i pasivne backdoorove unutar globalne telekomunikacijske backbone infrastrukture radi dugotrajne prisutnosti. Operacija nije povezana s poznatim APT skupinama, a cilj joj je visoko razinsko špijuniranje i dugoročni pristup kritičnim sustavima.
Izvor: SecurityWeek

ShadowPrompt ranjivost omogućuje preuzimanje kontrole nad Claude Chrome ekstenzijom
Ranjivost u Claude Chrome ekstenziji omogućila je bilo kojoj web stranici da neprimjetno ubaci upute AI asistentu bez interakcije korisnika. Kombinacija preširoke origin allow liste i DOM XSS propusta omogućuje izvršavanje proizvoljnih naredbi s privilegijama korisnika.
Izvor: Koi AI

Citrix upozorava na kritične NetScaler ranjivosti s mogućnošću krađe sesijskih tokena
Citrix je objavio zakrpe za ranjivost CVE-2026-3055 koja može omogućiti neautentificiranim napadačima krađu osjetljivih podataka poput session tokena. Ranjivost je slična prethodnim CitrixBleed propustima i zahtijeva hitno ažuriranje sustava.
Izvor: BleepingComputer

GlassWorm malware skriva RAT unutar zlonamjerne Chrome ekstenzije
GlassWorm kampanja koristi višefazni napad za instalaciju trajnog RAT-a koji uključuje zlonamjernu Chrome ekstenziju maskiranu kao Google Docs Offline. Malware prikuplja tipkanje, kolačiće, tokene sesije i snimke zaslona te komunicira s C2 serverom skrivenim u blockchainu.
Izvor: Aikido Security

Kritične GitLab ranjivosti omogućuju impersonaciju aplikacija i curenje AI tokena
GitLab je objavio sigurnosno ažuriranje koje rješava više ranjivosti visokog rizika, uključujući propuste koji omogućuju impersonaciju aplikacija, neautorizirane naredbe i DoS napade. Poseban rizik predstavlja mogućnost kompromitacije AI tokena i integriteta računa.
Izvor: SecurityOnline

Sigurnosne vijesti dana [24/03/26]

Izvješće IT ISAC-a za 2025. otkriva ključne prijetnje IT sektoru
Izvješće IT ISAC-a daje pregled glavnih kibernetičkih prijetnji usmjerenih na IT sektor te naglašava važnost razmjene obavještajnih podataka između organizacija. Analiza uključuje pregled prijetnji, tehnika napada i mjera zaštite s ciljem jačanja otpornosti kritične infrastrukture.
Izvor: IT-ISAC

Zlonamjerni npm paketi koriste lažne install logove za isporuku RAT-a
Kampanja povezana sa Sjevernom Korejom cilja developere putem lažnih ponuda za posao i testova kodiranja, koristeći npm pakete koji instaliraju remote access trojance. Napad se oslanja na socijalni inženjering za kompromitaciju razvojnih okruženja.
Izvor: ReversingLabs

GhostClaw kampanja širi se na GitHub i AI workflowe
GhostClaw malware kampanja proširila se s npm paketa na GitHub repozitorije i AI workflowe, ciljajući macOS sustave. Istraživači su otkrili nove vektore infekcije i infrastrukturu, što ukazuje na rastuću sofisticiranost napada.
Izvor: Jamf

Tycoon2FA phishing platforma brzo se oporavila nakon policijske akcije
Phishing as a service platforma Tycoon2FA nastavila je s radom ubrzo nakon koordinirane akcije policije. Unatoč zapljeni domena, operacije su se vratile na prethodnu razinu aktivnosti u samo nekoliko dana.
Izvor: BleepingComputer

Kritična Cisco ranjivost aktivno se iskorištava u napadima
Ranjivost CVE-2026-20131 u Cisco Secure Firewall Management Center omogućuje neautentificiranim napadačima izvođenje koda i stjecanje root privilegija. Ranjivost je aktivno iskorištavana i dodana je u CISA KEV katalog, što zahtijeva hitno otklanjanje.
Izvor: Zscaler ThreatLabz

Sigurnosne vijesti dana [19/03/26]

Tvrtka Aura prijavila povredu podataka koja je zahvatila 900 tisuća zapisa
Sigurnosna tvrtka Aura prijavila je povredu podataka uzrokovanu vishing napadom na zaposlenika, pri čemu su napadači imali pristup računu oko sat vremena. Tvrtka je nakon otkrivanja odmah prekinula pristup, aktivirala plan odgovora na incident i uključila vanjske stručnjake te nadležna tijela.
Izvor: SecurityWeek

Apple ispravio WebKit ranjivost koja omogućuje zaobilaženje same origin politike
Apple je objavio sigurnosna ažuriranja za WebKit ranjivost koja omogućuje zaobilaženje same origin politike putem posebno izrađenog web sadržaja. Ranjivost pogađa iOS, iPadOS i macOS te je riješena poboljšanom validacijom ulaza.
Izvor: The Hacker News

Novi ClickFix napad koristi korisnika za mapiranje zlonamjernih mrežnih diskova
Nova varijanta ClickFix napada ne koristi klasični malware već manipulira korisnicima da sami pokrenu zlonamjerne naredbe putem Windows Run dijaloga. Napad koristi lažne CAPTCHA stranice koje korisnike navode na izvršavanje skrivenih komandi iz clipboarda.
Izvor: Hackread

Kritična ScreenConnect ranjivost izlaže kriptografske ključeve sustava
Ranjivost CVE-2026-3564 omogućuje neovlaštenim napadačima pristup osjetljivim kriptografskim materijalima na razini servera. Problem proizlazi iz načina na koji starije verzije upravljaju tajnama, ostavljajući sustav izloženim napadima.
Izvor: SecurityOnline

KVM uređaji predstavljaju podcijenjenu sigurnosnu prijetnju
Istraživanje pokazuje da kompromitacija KVM uređaja omogućuje napadačima potpunu kontrolu nad povezanim sustavima na razini ispod operativnog sustava. Time se mogu zaobići sigurnosne kontrole poput EDR-a, Secure Boot-a i enkripcije diska.
Izvor: Eclypsium

Sigurnosne vijesti dana [17/03/26]

NCI upozorava na povećane prijetnje kritičnoj infrastrukturi zbog sukoba na Bliskom istoku
Zajedničko upozorenje NCI-a ističe da sukob na Bliskom istoku povećava rizik za kritičnu infrastrukturu globalno. Očekuje se porast kibernetičkih napada od strane iranskih državnih aktera, haktiVista i kriminalnih skupina povezanih s Iranom. Također postoji rizik od fizičkih napada na javne prostore i ključne sustave. Organizacije se pozivaju na povećanu pripravnost i praćenje prijetnji.
Izvor: NCI Advisory

Poisoned Typeface pokazuje kako fontovi mogu kompromitirati AI sustave
Istraživači su pokazali kako se pomoću prilagođenih fontova i CSS-a mogu sakriti zlonamjerne upute koje korisnik vidi u pregledniku, dok AI sustavi analiziraju bezopasan sadržaj. Ova tehnika omogućuje prompt injection i potencijalno izvođenje zlonamjernog koda ili curenje podataka, a pogođeni su svi testirani AI asistenti.
Izvor: LayerX Security

Kritična ranjivost u File Browseru automatski dodjeljuje admin prava
Ranjivost CVE-2026-32760 s maksimalnim CVSS rezultatom 10 omogućuje da svaki novi korisnik automatski dobije administratorske privilegije. Propust u logici registracije može dovesti do potpunog preuzimanja sustava bez tehničkog znanja napadača.
Izvor: SecurityOnline

LeakNet ransomware koristi ClickFix i Deno za prikrivene napade
LeakNet ransomware koristi ClickFix tehniku za početni pristup i open source Deno runtime za izvršavanje zlonamjernog koda direktno u memoriji. Time se smanjuje broj tragova na disku i otežava detekcija napada.
Izvor: BleepingComputer

Authlib ranjivosti omogućuju krivotvorenje tokena i zaobilaženje autentikacije
Tri kritične ranjivosti u Authlib biblioteci mogu omogućiti napadačima zaobilaženje autentikacije, krivotvorenje JWT tokena i dešifriranje osjetljivih podataka. S obzirom na široku upotrebu biblioteke, rizik za globalnu infrastrukturu je značajan.
Izvor: SecurityOnline

Sigurnosne vijesti dana [13/03/26]

Google zakrpao dva Chrome zero day propusta koji su se aktivno iskorištavali
Google je objavio sigurnosne zakrpe za dvije zero day ranjivosti u Chromeu koje su se aktivno iskorištavale u stvarnim napadima. Propusti utječu na komponente Skia i V8. Obje ranjivosti otkrivene su i prijavljene od strane Googlea 10. ožujka 2026., a dodatni tehnički detalji o načinu iskorištavanja i napadačima nisu objavljeni kako bi se spriječila daljnja zloupotreba.
Izvor: The Hacker News

Storm 2561 koristi SEO poisoning za distribuciju lažnih VPN klijenata i krađu vjerodajnica
Microsoft je identificirao kampanju krađe vjerodajnica u kojoj napadači distribuiraju lažne VPN klijente putem SEO poisoning tehnike. Korisnici koji pretražuju legitimni enterprise softver preusmjeravaju se na zlonamjerne ZIP datoteke na napadačkim web stranicama koje instaliraju digitalno potpisane trojance prerušene u pouzdane VPN klijente. Aktivnost se pripisuje kibernetičkoj kriminalnoj skupini Storm 2561 koja je aktivna od svibnja 2025.
Izvor: Microsoft Security Blog

400 tisuća WordPress stranica pogođeno SQL injection ranjivošću u Ally pluginu
SQL injection ranjivost otkrivena u WordPress pluginu Ally, koji ima više od 400 tisuća aktivnih instalacija, može se iskoristiti za izvlačenje osjetljivih podataka iz baze, uključujući hashirane lozinke. Ranjivost je prijavljena kroz Wordfence Bug Bounty program samo pet dana nakon što je uvedena u kod, što naglašava brzinu kojom sigurnosni propusti mogu biti identificirani i iskorišteni.
Izvor: Wordfence

Veeam upozorava na kritične ranjivosti koje omogućuju RCE napade na backup servere
Veeam je zakrpao više sigurnosnih propusta u svom rješenju Backup and Replication, uključujući četiri kritične ranjivosti koje omogućuju remote code execution. Tri ranjivosti omogućuju korisnicima s niskim privilegijama u domeni izvršavanje koda na ranjivim backup serverima, čime se otvara mogućnost kompromitacije sustava koji čuvaju ključne kopije podataka.
Izvor: BleepingComputer

Glassworm ponovno napada koristeći nevidljive Unicode znakove u GitHub i npm repozitorijima
Istraživači su zabilježili novi val aktivnosti prijetnje Glassworm koja koristi skrivene Unicode znakove za kompromitiranje GitHub repozitorija, npm paketa i VS Code ekosustava. Tehnika omogućuje ubacivanje zlonamjernog koda koji ostaje skriven tijekom pregleda koda, a pogođeni su i repozitoriji poznatih projekata. Kampanja predstavlja nastavak ranijih operacija koje su koristile slične tehnike za kompromitiranje open source ekosustava.
Izvor: Aikido Security

Najčešće greške koje organizacije rade pri pripremi za NIS2

Kada organizacije počnu razmišljati o NIS2 direktivi, prvi korak je često pokušaj razumijevanja samog pravnog teksta. Timovi otvaraju dokument, čitaju članke i pokušavaju protumačiti što točno svaka odredba znači za njihovu organizaciju. Takav pristup rijetko donosi jasnoću jer NIS2 prije svega nije pravni projekt. Ona predstavlja okvir upravljanja rizikom i sigurnošću koji organizacije potiče na razumijevanje vlastite izloženost, izgradnju otpornost sustava i uključivanje vodstva tvrtke u donošenju sigurnosnih odluka. U praksi organizacije rijetko imaju problem samo zato što ignoriraju NIS2. Problem nastaje zato što joj pristupaju na način koji ne odražava stvarnu svrhu direktive.

Postoji nekoliko obrazaca koji se redovito pojavljuju kada organizacije započnu pripreme:

1. Pretvaranje NIS2 u dokumentacijski projekt

Jedna od najčešćih grešaka je tretiranje NIS2 kao projekt stvaranja dokumentacije. Napišu se politike, dodijele se odgovornosti i napravi se dokument procjene rizika. Nakon toga se pretpostavlja da je zahtjev ispunjen jer dokumentacija postoji. Direktiva ipak očekuje nešto drugo. NIS2 stavlja naglasak na operativnu sigurnost i kontinuirano upravljanje rizikom. Sustavi se mijenjaju, infrastruktura se nadograđuje, dobavljači se mijenjaju, a napadači stalno prilagođavaju svoje metode. Dokument napisan jednom ne može odražavati okruženje koje se stalno mijenja. Regulatorna tijela neće gledati samo postoji li politika. Tražit će dokaz da su sigurnosne mjere stvarno implementirane i da funkcioniraju u praksi.

2. Ostajanje na razini općih dokumenata

Drugi čest problem je zadržavanje na apstraktnoj razini. Organizacije često imaju strateške dokumente koji izgledaju dobro na papiru, ali su slabo povezani s tehničkom stvarnošću. Plan odgovora na incident postoji, ali nikada nije testiran. Plan kontinuiteta poslovanja je formalno odobren, ali oporavak sustava nikada nije simuliran. Politika sigurnosti dobavljača postoji, ali dobavljače se u praksi ne procjenjuje. NIS2 jasno naglašava implementaciju. Kontrole moraju postojati u operativnom radu, a ne samo u dokumentaciji. Organizacije koje ostanu na razini politike često tek kasnije shvate koliko je teško dokazati da te politike stvarno funkcioniraju.

3. Pokušaj tumačenja svake pravne odredbe

Neke organizacije provode tjedne pokušavajući detaljno protumačiti svaku odredbu direktive. Takav pristup često stvara više konfuzije nego koristi. NIS2 definira ciljeve i odgovornosti, ali ne propisuje točne tehničke konfiguracije niti daje detaljan vodič za implementaciju. Mnogo je korisnije krenuti od operativne slike vlastitog sustava. Organizacija mora znati koja imovina postoji, koje su usluge kritične, kako su sustavi povezani i koji dobavljači imaju pristup infrastrukturi. Bez te osnovne slike svaka rasprava o NIS2 usklađenosti ostaje teorijska.

4. Nejasnoća oko početne točke

Jedno od najčešćih pitanja koje organizacije postavljaju je jednostavno: odakle početi. Odgovor gotovo nikada nije alat ili politika. Početna točka je vidljivost. Nemoguće je upravljati rizikom u sustavima koji nisu identificirani. Nemoguće je upravljati sigurnošću dobavljača koji nisu klasificirani. Nemoguće je prijaviti incident koji se ne može detektirati. Pouzdan inventar imovine, razumijevanje mrežne strukture i identifikacija ključnih usluga stvaraju temelj za sve daljnje sigurnosne aktivnosti.

5. Podcjenjivanje odgovornosti uprave

Jedna od najvažnijih promjena koje NIS2 donosi je odgovornost uprave. Kibernetička sigurnost više nije isključivo tehnička funkcija. Uprava mora odobravati sigurnosne mjere, nadzirati njihovu implementaciju i razumjeti razinu izloženosti organizacije. To znači da se sigurnost mora komunicirati na poslovnoj razini. Rizik treba biti razumljiv upravi, a ne samo IT timu. Organizacije u kojima je sigurnost potpuno izolirana u tehničkom odjelu teško će zadovoljiti ovaj zahtjev.

6. Zanemarivanje rizika dobavljača

Mnogi veliki sigurnosni incidenti započeli su kompromitacijom dobavljača. NIS2 prepoznaje taj obrazac i zato posebno naglašava sigurnost lanca opskrbe. Organizacije moraju razumjeti ulogu koju dobavljači imaju u njihovim sustavima i procijeniti rizik koji proizlazi iz tih odnosa. To podrazumijeva identifikaciju ključnih dobavljača, razumijevanje njihovog pristupa sustavima i definiranje sigurnosnih zahtjeva koje moraju ispuniti. Ako se taj dio zanemari, organizacija može ostati izložena i uz snažne interne kontrole.

7. Obveze prijave incidenata bez mogućnosti detekcije

NIS2 uvodi jasne rokove za prijavu incidenata. Organizacije moraju poslati početno upozorenje unutar 24 sata od detekcije značajnog incidenta te detaljniju prijavu unutar 72 sata. Takvi rokovi pretpostavljaju da organizacija ima funkcionalne mehanizme detekcije. U mnogim sustavima incidenti se otkriju tek nakon nekoliko tjedana. Logovi su nepotpuni, nadzor je fragmentiran, a proces eskalacije nije definiran. Bez operativne detekcije teško je ispuniti zahtjeve direktive. Upravo zato NIS2 potiče organizacije na jačanje nadzora i odgovora na incidente.

8. Gledanje na NIS2 samo kroz prizmu kazni

Kazne predviđene direktivom često se spominju u raspravama o NIS2 a i u ponudama NIS2 savjetodavnih tvrtki. Iako su financijski iznosi značajni, fokusiranje isključivo na kazne često vodi minimalnom pristupu usklađenosti. Šira slika pokazuje da NIS2 može biti prilika za jačanje sigurnosnog upravljanja.

Organizacije koje ozbiljno pristupe upravljanju rizikom obično dobiju bolju vidljivost vlastite infrastrukture, jasniju odgovornost unutar organizacije, učinkovitiji odgovor na incidente i veću otpornost na operativne poremećaje. Direktiva tada postaje alat za razvoj sigurnosne zrelosti. NIS2 ne traži da organizacije znaju pravne članke napamet. Ona traži dokaz da organizacija razumije svoje digitalno okruženje, upravlja rizikom i ima jasnu odgovornost za sigurnost. Regulatorna tijela očekuju vidjeti da organizacije poznaju svoje sustave, prate sigurnosne događaje, procjenjuju rizik dobavljača i uključuju upravu u sigurnosne odluke. Organizacije koje NIS2 tretiraju kao administrativni projekt teško će to dokazati. One koje je shvate kao okvir za upravljanje kibernetičkom sigurnošću bit će dugoročno otpornije, bez obzira na regulatorni pritisak.

Izvori:

European Union – Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2 Directive)

ENISA – ENISA Threat Landscape 2023

World Economic Forum – Global Risks Report 2024

Želite jasnu sliku sigurnosnog stanja vaše organizacije u odnosu na NIS2 zahtjeve?

Sigurnosne vijesti dana [12/03/26]

Kritične n8n ranjivosti omogućile su preuzimanje servera
Dvije kritične ranjivosti u n8n sustavu mogle su se iskoristiti za neautentificirano udaljeno izvršavanje koda i bijeg iz sandbox okruženja, čime su bili izloženi svi podaci i vjerodajnice pohranjeni u n8n bazi. Prva ranjivost, označena kao CVE-2026-27493 s CVSS ocjenom 9.5, opisana je kao second order expression injection problem u Form čvorovima open source platforme za automatizaciju radnih tokova. Uspješna eksploatacija mogla je omogućiti napadaču umetanje proizvoljnih naredbi u polje Name i primitak izlaza izvršene naredbe.
Izvor: SecurityWeek

Iranski MOIS akteri i veza s kibernetičkim kriminalom
Dugo su iranski akteri pokušavali prikriti državne aktivnosti stvaranjem dojma običnog kibernetičkog kriminala, najčešće predstavljajući se kao ransomware operateri. Trend koji se sada uočava ide korak dalje. Umjesto pukog preuzimanja kriminalnih i haktivističkih identiteta radi otežavanja atribucije, pojedini iranski akteri izgleda se povezuju sa samim kibernetičko kriminalnim ekosustavom te koriste njegov malware, infrastrukturu i mehanizme slične affiliate modelu. Ova promjena je važna jer ne poboljšava samo mogućnost poricanja, nego i širi operativni doseg te tehničke sposobnosti. Check Point u ovom tekstu analizira više slučajeva koji odražavaju ovu evoluciju, uključujući korištenje ransomware brendiranja, komercijalnih infostealera i preklapanja s kriminalnim malware klasterima.
Izvor: Check Point Research

Pojačana špijunska aktivnost protiv meta na Bliskom istoku povezana s ratom u Iranu
Proofpoint navodi da su nakon američko izraelskih udara 28. veljače 2026. i naknadnih iranskih odmazdi zabilježene pojačane špijunske aktivnosti usmjerene na mete na Bliskom istoku. Dok su različite iranske haktivističke skupine preuzele odgovornost za ometajuće operacije, iranske špijunske skupine ostale su djelomično aktivne unatoč gašenju interneta u Iranu odmah nakon početka napada. Primjerice, 8. ožujka uočena je credential phishing aktivnost skupine TA453 usmjerena na američki think tank, pri čemu je komunikacija započela prije samog izbijanja sukoba, što upućuje na nastavak prioritizirane obavještajne aktivnosti prema tradicionalnim metama.
Izvor: Proofpoint

WordPress kompromitacije pogone globalnu operaciju krađe podataka
Rapid7 Labs identificirao je široko rasprostranjenu i aktivnu kompromitaciju legitimnih i potencijalno vrlo pouzdanih WordPress stranica koje nepoznati akter koristi za umetanje ClickFix implantata koji se predstavlja kao Cloudflare provjera da je korisnik čovjek. Mamac je osmišljen kako bi zarazio posjetitelje višefaznim malware lancem koji na kraju krade i eksfiltrira vjerodajnice i digitalne novčanike s Windows sustava. Ukradeni podaci potom se mogu iskoristiti za financijsku krađu ili za daljnje i ciljane napade na organizacije.
Izvor: Rapid7

Australija, Novi Zeland i Tonga upozoravaju na rastuće INC Ransom napade na pacifičke mreže
Kibernetičke agencije diljem pacifičke regije upozoravaju na širenje aktivnosti ransomware skupine INC Ransom i rastući utjecaj njezine affiliate mreže. Zajedničko upozorenje koje su objavili ACSC, CERT Tonga i novozelandski NCSC ističe da je INC Ransom ekosustav postao aktivna prijetnja organizacijama u Australiji, Novom Zelandu i pacifičkim otočnim državama. Posebno se naglašava distribuirani affiliate model koji omogućuje širokom rasponu kibernetičkih kriminalaca provođenje napada korištenjem zajedničkih alata i infrastrukture.
Izvor: Cyble

Sigurnosne vijesti dana [04/03/26]

Zlonamjerni Packagist paketi prerušeni u Laravel alate isporučuju šifrirani RAT
Istraživači su otkrili remote access trojan distribuiran kroz više Packagist paketa koji se predstavljaju kao Laravel alati. Paketi nhattuanbl/lara-helper i nhattuanbl/simple-queue sadrže identičan zlonamjerni payload, dok treći paket automatski instalira RAT putem ovisnosti. Kampanja pokazuje kako napadači iskorištavaju supply chain rizike unutar PHP developerskog ekosustava kroz pouzdane repozitorije paketa.
Izvor: Socket

APT skupina Silver Dragon cilja organizacije u jugoistočnoj Aziji i Europi
Check Point prati APT skupinu Silver Dragon za koju se vjeruje da djeluje unutar šire kineske APT41 infrastrukture. Napadi su usmjereni na organizacije u Europi i jugoistočnoj Aziji, a početni pristup ostvaruje se iskorištavanjem javno dostupnih servera i phishing porukama s malicioznim privicima. Za održavanje pristupa napadači preuzimaju legitimne Windows servise kako bi se zlonamjerni procesi stopili s normalnim radom sustava.
Izvor: Check Point Research

Kritična FreeScout ranjivost omogućuje potpuno kompromitiranje servera
Kritična ranjivost u open source help desk platformi FreeScout označena kao CVE-2026-28289 omogućuje zero click remote code execution. Propust predstavlja zaobilaženje ranije zakrpane ranjivosti i omogućuje napadaču manipulaciju obradom datoteka putem zlonamjernog .htaccess upload-a, što može rezultirati potpunim kompromitiranjem servera.
Izvor: SecurityWeek

Ranjivost u VMware Aria Operations sustavu aktivno se iskorištava
CISA upozorava da se CVE-2026-22719, ranjivost visoke razine ozbiljnosti u VMware Aria Operations sustavu, aktivno iskorištava u napadima. Riječ je o command injection propustu koji omogućuje neautentificiranim napadačima izvršavanje proizvoljnih naredbi tijekom procesa migracije proizvoda uz podršku tehničke podrške, što može dovesti do remote code executiona.
Izvor: SecurityWeek

Kritična RCE ranjivost u Qwik frameworku omogućuje preuzimanje servera
Ranjivost označena kao CVE-2026-27971 u web frameworku Qwik omogućuje napadaču preuzimanje kontrole nad serverom jednim posebno oblikovanim zahtjevom. Propust se nalazi u server side komunikacijskom sloju frameworka i predstavlja ozbiljan rizik za aplikacije izgrađene na toj platformi jer omogućuje remote code execution.
Izvor: SecurityOnline

Autor: AresISEC Security Team