39% киберинцидентов в 2025 году связаны с привилегированным доступом
С начала 2025 года 39% киберинцидентов связаны с компрометацией привилегированных учётных записей. В 57% случаев злоумышленники использовали действующие учётные данные, полученные через утечки или фишинг. Проблему усугубляет плохой контроль жизненного цикла таких аккаунтов и использование одинаковых паролей для многих из них.
По данным команды BI.ZONE TDR, за указанный период большинство атак было сопоставлено с техниками MITRE ATT&CK, характерными для действий с использованием повышенных прав доступа.
Наиболее частой техникой стало получение доступа через действующие учетные данные. Как сообщили эксперты, на этот вектор приходится 57% эпизодов, при котором злоумышленники применяли украденные пароли, фишинг или данные, полученные в результате утечек и подбора.
На втором месте по распространенности, в 40% случаев, оказались манипуляции с учетными записями. В эту категорию входит создание скрытых административных прав, а также попытки закрепиться в системе и повысить уровень доступа.
Еще 15% инцидентов были связаны с использованием легитимных учетных записей для удаленного подключения к инфраструктуре, что позволяло злоумышленникам свободно перемещаться по системе после получения доступа.
Многие компании не контролируют жизненный цикл привилегированных учетных записей. Более половины таких учетных записей никогда не истекают автоматически и могут существовать без владельца годами. Кроме того, как указывается в сообщении, более половины организаций не отзывают привилегированные доступы сразу после увольнения сотрудников.
Мониторинг таких доступов затруднен без специализированных решений, отмечается в сообщении. На одного IT-сотрудника приходится от 3 до 7 привилегированных учетных записей, при этом 30–40% из них в разных системах имеют одинаковые или схожие пароли. Это создает риск, когда компрометация одной учетной записи может привести к доступу ко всей IT-инфраструктуре.
Читайте также
