BI.ZONE: только 27% привилегированных учетных записей в корпоративном секторе защищены сертификатами

Эксперты BI.ZONE PAM проанализировали практику управления привилегированным доступом в крупном бизнесе и выяснили: пароль остается основным способом аутентификации для критически важных учетных записей.

Исследование показало, что 73% привилегированных учетных записей защищены паролями, тогда как для 27% применяются сертификаты с более надежной криптографической защитой. Хотя в России активно развивается концепция zero trust, парольная аутентификация пока остается основным способом защиты. При этом пароль можно подобрать, получить с помощью фишинга или украсть в результате утечки данных. Сотрудники также могут использовать одинаковые пароли в нескольких системах. В таком случае компрометация одного сервиса способна дать злоумышленникам доступ и к другим корпоративным ресурсам.

До сих пор во многих компаниях пароли не меняют годами. По данным BI.ZONE TDR, в 19% корпоративных аккаунтов используются пароли старше одного года, а в 2% — старше 10 лет. Кроме того, в среднем у 22% учетных записей установлен атрибут PasswordNeverExpires («пароль никогда не истекает»).

У 19% учетных записей пароли такие же, как у других пользователей внутри компании. В одной из организаций этот показатель достигал 43%. Часто причина в том, что сотрудники не меняют стандартные пароли, выданные при трудоустройстве.

Артём Назаретян, руководитель BI.ZONE PAM: «Даже одна скомпрометированная привилегированная учетная запись может стать точкой входа сразу в несколько критически важных систем. Если при этом используется парольная аутентификация и избыточные права доступа, масштаб потенциальной атаки существенно возрастает. На этом фоне компании отказываются от статических учетных данных в пользу сертификатной аутентификации и динамического управления доступом. В перспективе 3 лет это может привести к модели беспарольного привилегированного доступа без постоянных привилегий».

Дополнительный риск создает структура доступа к информационным системам. В среднем по компаниям около 6% учетных записей имеют доступ более чем к 10 тысячам корпоративных систем, а примерно 2% — к десяткам тысяч сетевых ресурсов. При этом 4–5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учетной записи может привести к быстрому распространению атаки внутри инфраструктуры.

Мировая практика движется в сторону отказа от паролей в пользу сертификатной аутентификации и сокращения срока жизни учетных данных. Так, по прогнозам CA/Browser Forum, к 2029 году максимальный срок действия SSL/TLS-сертификатов сократится до 47 дней.

Вероятно, этот тренд скоро придет и в Россию. Администрировать сертификаты вручную на уровне отдельных пользователей станет практически невозможно, поэтому возрастет потребность в централизованном управлении жизненным циклом учетных данных.

В этих условиях ключевую роль начинают играть PAM-платформы. Они автоматизируют выпуск, ротацию и отзыв сертификатов и секретов, объединяя эти процессы в единый цикл. Такой подход снижает операционную нагрузку, а также сокращает риск компрометации учетных данных за счет их регулярного обновления и контроля.