Причина 39% киберинцидентов в этом году — небезопасное управление привилегированным доступом

Команда BI.ZONE TDR сопоставила выявленные инциденты с техниками MITRE ATT&CK, отражающими типичные действия злоумышленников при атаках с использованием привилегированного доступа.

В результате эксперты выявили самые частые техники, которые могут применяться в рамках одной атаки. Так, в 57% случаев злоумышленники получали доступ через действующие учетные данные. В таких атаках обычно используют украденные пароли, получают данные с помощью фишинга или становятся обладателями учетных данных в результате утечки либо подбора паролей.

На втором месте оказались манипуляции с учетными записями: создание скрытых администраторских прав, а также попытки закрепиться в системе и повысить уровень доступа. Подобные действия встречались в 40% эпизодов.

Еще 15% инцидентов было связано с использованием легитимных учетных записей для удаленного подключения к инфраструктуре — например, через SSH или другие сервисы. Получив доступ таким образом, злоумышленники могли свободно перемещаться по системе.

По оценкам команды BI.ZONE PAM, многие компании до сих пор не контролируют жизненный цикл привилегированных учетных записей. Более половины таких записей никогда не истекают автоматически и могут существовать без владельца годами. Кроме того, более половины организаций не отзывают привилегированные доступы сразу после увольнения сотрудников, что создает риск использования забытых аккаунтов.

Мониторинг и контроль привилегированных доступов практически невыполнимы без специализированных решений. Сегодня, согласно нашему анализу, на одного IT‑сотрудника приходится 3–7 привилегированных учетных записей — от локальных администраторов до облачных сервисов. При этом 30–40% всех таких учетных записей в разных системах имеют одинаковые или схожие пароли. Если злоумышленник получит доступ к одной учетной записи, он с большой вероятностью сможет подобрать пароль и заполучить доступ к IT‑инфраструктуре.