Специалисты сервиса по мониторингу и реагированию на инциденты BI.ZONE TDR выяснили, что 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, были связаны с небезопасной парольной политикой для учетных записей администраторов.

Под киберинцидентом понимаются действия злоумышленников по отношению к IT‑инфраструктуре компании, из-за которых страдает ее безопасность. При этом высококритичным считается инцидент, при котором системам в результате атаки может быть нанесен существенный ущерб.

Специалисты BI.ZONE проанализировали кейсы более 100 российских компаний из различных отраслей. Исследование показало, что по итогам трех кварталов этого года 35% высококритичных инцидентов были связаны с компрометацией паролей от привилегированных учетных записей, которые дают сотруднику административные, расширенные права. Кроме того, 18% инцидентов, способных значительно навредить деятельности организации, были связаны с некорректной настройкой прав доступа к критическим компонентам IT-инфраструктуры, таким как серверы, базы данных и веб-приложения компании.

Расширенные права необходимы для успешного развития атаки, чем и объясняется неослабевающий интерес злоумышленников к административным аккаунтам: получив к ним доступ, атакующие могут добраться почти до любой информации в компании, украсть ее или уничтожить, нарушить бизнес-процессы и даже полностью их остановить.

По данным BI.ZONE, 1 из 50 корпоративных локальных пользователей в компании использует слабый пароль, а если учетная запись принадлежит администратору, такая проблема становится особенно критичной.

«Довольно часто взломать административный аккаунт и получить таким образом повышенные привилегии удается из-за того, что для него используется слабый пароль вида admin или 12345, а также утекшие в интернет данные, которые забыли сменить, — рассказал Артём Назаретян, руководитель платформы для управления привилегированным доступом BI.ZONE PAM. — Еще один фактор риска — неправильная настройка прав доступа, когда в компании появляются так называемые суперпользователи с неограниченными возможностями или когда подрядчику выдаются лишние права либо их не отзывают по окончании проекта. При этом обеспечивать безопасность административных учетных записей сложно: такие пользователи по определению способны преодолевать классические защитные меры, а контроль должен быть настроен так, чтобы не мешать выполнению бизнес-функций. Наши опросы подтверждают, что эту задачу многим только предстоит решить: почти у 90% компаний нет выстроенного процесса управления привилегированным доступом, а у 55% из них — специализированного инструмента для этого».

Контроль аккаунтов с расширенными правами особенно важен в свете сохраняющегося тренда на атаки через подрядчиков. По данным BI.ZONE, с такого рода атаками с начала 2024 года было связано порядка 15% всех высококритичных инцидентов.

Снизить риски нелегитимного использования привилегированных учетных записей может централизованное управление административным доступом, выстроенное на базе систем класса privileged access management (PAM). При его внедрении важно провести инвентаризацию существующих привилегированных аккаунтов, грамотно спроектировать матрицы доступа и ролевую модель, настроить интеграцию с корпоративными системами мониторинга, управления заявками и пользователями.