Новость
Согласно данным команды Bi.Zone TDR, почти 40% киберинцидентов, зафиксированных с января по сентябрь 2025 года, были связаны с использованием или компрометацией привилегированных учетных записей. Эксперты компании сопоставили выявленные случаи с техниками MITRE ATT&CK, отражающими типичные действия злоумышленников при атаках с использованием привилегированного доступа.
Анализ позволил выявить наиболее частые техники, применяемые в рамках одной атаки. В 57% случаев злоумышленники получали доступ через действующие учетные данные, используя украденные пароли, данные фишинга или информацию, полученную в результате утечек.
На втором месте оказались манипуляции с учетными записями — создание скрытых администраторских прав и попытки закрепиться в системе для повышения уровня доступа. Такие действия были зафиксированы в 40% инцидентов.
Еще 15% случаев были связаны с использованием легитимных учетных записей для удаленного подключения к инфраструктуре через SSH и другие сервисы, что позволяло злоумышленникам свободно перемещаться по системе.
«Рост количества атак, связанных с привилегированным доступом, отражает глобальный тренд: злоумышленники продолжают использовать учетные записи как ключевую точку входа в инфраструктуру. Чтобы уменьшить риски, компаниям следует строго контролировать доступ, придерживаться принципа минимальных привилегий и использовать решения PAM для изоляции, мониторинга и аудита действий», — отметил Артем Назаретян, руководитель Bi.Zone PAM.
По оценкам специалистов компании, многие организации до сих пор не контролируют жизненный цикл привилегированных учетных записей. Более половины таких записей никогда не истекают автоматически и могут существовать без владельца годами. Более того, более 50% компаний не отзывают привилегированные доступы сразу после увольнения сотрудников, что создает риски использования забытых аккаунтов.
Мониторинг привилегированных доступов практически невозможен без специализированных решений. Согласно анализу Bi.Zone, на одного IT-сотрудника приходится от трех до семи привилегированных учетных записей, при этом 30-40% из них в разных системах имеют одинаковые или схожие пароли. Это означает, что компрометация одной учетной записи с высокой вероятностью приводит к получению доступа ко всей IT-инфраструктуре.