Согласно исследованию команды Bi.Zone TDR, в 39% кибератак, зарегистрированных с января по сентябрь 2025 года, была задействована компрометация или эксплуатация привилегированных аккаунтов. Специалисты Bi.Zone соотнесли обнаруженные случаи с тактиками матрицы MITRE ATT&CK, которые описывают типичные шаги злоумышленников при атаках с использованием повышенных прав доступа. Об этом CNews рассказали в Bi.Zone.
В ходе анализа были определены наиболее распространенные техники, нередко применяемые в рамках единой атаки. Например, в 57% эпизодов злоумышленники проникали в системы, используя действующие логины и пароли. Для этого они применяли похищенные учетные данные, получали их через фишинг или становились их обладателями в результате утечек информации или подбора паролей.
Второе место по частоте заняли манипуляции с учетными записями: создание скрытых административных профилей, а также попытки закрепиться в системе и расширить свои привилегии. Подобные действия фиксировались в 40% инцидентов.
Еще 15% атак были осуществлены с использованием легитимных учетных записей для удаленного доступа к инфраструктуре, например, через SSH или аналогичные сервисы. Получив такой доступ, злоумышленники могли беспрепятственно перемещаться по корпоративной сети.
Артем Назаретян, руководитель направления Bi.Zone PAM: «Увеличение числа атак, связанных с привилегированным доступом, соответствует общемировой тенденции: злоумышленники по-прежнему рассматривают учетные записи как главную точку входа в инфраструктуру. Для снижения рисков компаниям необходимо ужесточить контроль над доступом, соблюдать принцип минимальных привилегий и внедрять PAM-решения для изоляции, отслеживания и аудита всех операций».
По оценкам экспертов Bi.Zone PAM, многие организации до сих пор не управляют жизненным циклом привилегированных аккаунтов. Более половины таких записей не имеют автоматического срока действия и могут оставаться в системе бессрочно, даже без реального владельца. Кроме того, свыше 50% компаний не отзывают привилегированный доступ сразу после ухода сотрудника, что создает угрозу использования «забытых» аккаунтов.
Эффективный мониторинг и контроль привилегированных доступов практически невозможны без специализированных инструментов. Как показывает анализ Bi.Zone, сегодня на одного ИТ-специалиста в среднем приходится от трех до семи привилегированных учетных записей — от локальных администраторов до аккаунтов в облачных сервисах. При этом 30–40% всех таких записей в различных системах имеют одинаковые или очень похожие пароли. Если злоумышленник получит доступ к одной из них, он с высокой вероятностью сможет подобрать пароли и получить контроль над ИТ-инфраструктурой.
