Каждый третий опасный киберинцидент связан со взломом административных аккаунтов

Специалисты BI.ZONE выяснили, что 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, связаны с небезопасной парольной политикой для учетных записей администраторов

18 ноября 2024 г.

Под киберинцидентом понимаются действия злоумышленников по отношению к IT‑инфраструктуре компании, из‑за которых страдает ее безопасность. При этом высококритичным считается инцидент, при котором системам в результате атаки может быть нанесен существенный ущерб.

Специалисты BI.ZONE TDR проанализировали кейсы более 100 российских компаний из различных отраслей. Исследование показало, что по итогам трех кварталов этого года 35% высококритичных инцидентов были связаны с компрометацией паролей от привилегированных учетных записей, которые дают сотруднику административные, расширенные права. Кроме того, 18% инцидентов, способных значительно навредить деятельности организации, были связаны с некорректной настройкой прав доступа к критическим компонентам IT‑инфраструктуры, таким как серверы, базы данных и веб‑приложения компании.

Расширенные права необходимы для успешного развития атаки, чем и объясняется неослабевающий интерес злоумышленников к административным аккаунтам: получив к ним доступ, атакующие могут добраться почти до любой информации в компании, украсть ее или уничтожить, нарушить бизнес‑процессы и даже полностью их остановить.

По данным BI.ZONE, 1 из 50 корпоративных локальных пользователей в компании использует слабый пароль, а если учетная запись принадлежит администратору, такая проблема становится особенно критичной.

Довольно часто взломать административный аккаунт и получить таким образом повышенные привилегии удается из‑за того, что для него используется слабый пароль вида admin или 12345, а также утекшие в интернет данные, которые забыли сменить. Еще один фактор риска — неправильная настройка прав доступа, когда в компании появляются так называемые суперпользователи с неограниченными возможностями или когда подрядчику выдаются лишние права либо их не отзывают по окончании проекта. При этом обеспечивать безопасность административных учетных записей сложно: такие пользователи по определению способны преодолевать классические защитные меры, а контроль должен быть настроен так, чтобы не мешать выполнению бизнес‑функций. Наши опросы подтверждают, что эту задачу многим только предстоит решить: почти у 90% компаний нет выстроенного процесса управления привилегированным доступом, а у 55% из них — специализированного инструмента для этого.

Артём Назаретян

Руководитель BI.ZONE PAM

Контроль аккаунтов с расширенными правами особенно важен в свете сохраняющегося тренда на атаки через подрядчиков. По данным BI.ZONE, с такого рода атаками с начала 2024 года связано порядка 15% всех высококритичных инцидентов.

Снизить риски нелегитимного использования административных учетных записей может платформа для управления привилегированным доступом BI.ZONE PAM. Решение помогает обезопасить инфраструктуру за счет ротации паролей, контроля прав привилегированных пользователей, мониторинга их активности и передачи данных в SIEM.

BI.ZONE PAM включен в реестр отечественного ПО, имеет сертификат ФСТЭК России. Продукт работает на Linux, а также совместим с основными российскими Linux‑дистрибутивами.