Специалисты Bi.Zone PAM изучили, как в крупных компаниях организован привилегированный доступ, и установили: пароль по-прежнему служит главным методом проверки подлинности для наиболее важных аккаунтов. Об этом изданию CNews рассказали представители Bi.Zone.
В ходе исследования выяснилось, что 73% привилегированных учетных записей используют парольную защиту, а 27% применяют сертификаты, обеспечивающие более высокий уровень криптографической безопасности. Несмотря на активное внедрение концепции нулевого доверия в России, аутентификация по паролю пока остается доминирующим методом защиты. Однако пароль можно угадать, выманить с помощью фишинга или похитить в случае утечки информации. Кроме того, сотрудники нередко применяют одни и те же пароли в разных системах, и компрометация одного сервиса может открыть злоумышленникам доступ к другим корпоративным ресурсам.
Во многих организациях пароли до сих пор не обновляются годами. Согласно данным Bi.Zone TDR, 19% корпоративных аккаунтов имеют пароли, созданные более года назад, а 2% — старше десяти лет. Помимо этого, в среднем у 22% учетных записей установлен атрибут PasswordNeverExpires («срок действия пароля не ограничен»).
У 19% аккаунтов пароли совпадают с теми, что используются другими сотрудниками внутри компании. В одной из организаций этот показатель достигал 43%. Чаще всего это связано с тем, что работники не меняют стандартные пароли, выданные при приеме на работу.
Артем Назаретян, руководитель Bi.Zone PAM: «Даже одна скомпрометированная привилегированная учетная запись способна стать точкой проникновения сразу в несколько критически важных систем. Если к тому же используется парольная аутентификация и избыточные права доступа, масштаб возможной атаки значительно возрастает. В связи с этим компании переходят от статических учетных данных к сертификатной аутентификации и динамическому управлению доступом. В течение трех лет это может привести к модели беспарольного привилегированного доступа без постоянных привилегий».
Дополнительную угрозу представляет структура доступа к информационным системам. В среднем по компаниям около 6% учетных записей имеют доступ более чем к 10 тысячам корпоративных систем, а примерно 2% — к десяткам тысяч сетевых ресурсов. При этом 4–5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учетной записи может спровоцировать стремительное распространение атаки внутри инфраструктуры.
Мировая практика все активнее отказывается от паролей в пользу сертификатной аутентификации и сокращения срока действия учетных данных. Например, по прогнозам CA/Browser Forum, к 2029 году максимальный срок действия SSL/TLS-сертификатов уменьшится до 47 дней.
Вероятно, этот тренд вскоре достигнет и России. Ручное администрирование сертификатов на уровне отдельных пользователей станет практически невыполнимым, поэтому возрастет потребность в централизованном управлении жизненным циклом учетных данных.
При таких обстоятельствах PAM-платформы выходят на первый план. Они берут на себя автоматизацию процессов выдачи, смены и аннулирования сертификатов и секретов, объединяя их в общий цикл. Подобный подход уменьшает операционную нагрузку и снижает вероятность утечки учетных данных благодаря их своевременному обновлению и контролю.
