СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Блоги
UDV Group
3 часа назад
#Статьи #ИБ

UDV Group: «мертвые души» в ИТ — как забытые учетные записи становятся точкой входа для атак

UDV Group: мертвые души в ИТ — как забытые учетные записи становятся точкой входа для атак

Изображение: recraft

Кибератаки всё чаще строятся не на сложных технических эксплойтах, а на использовании уже существующих слабых мест в инфраструктуре — и в первую очередь на ошибках в управлении доступами. То, что раньше считалось операционной недоработкой, сегодня становится полноценным вектором проникновения: злоумышленникам не нужно взламывать систему, если в ней уже есть «легальные» точки входа.

По данным отраслевых экспертов, заметно выросло число атак, в которых используются учётные записи бывших сотрудников — так называемые «мертвые души». Компании и госструктуры по разным причинам не всегда своевременно удаляют такие аккаунты, и в результате они остаются активными месяцами или даже годами. В одном из зафиксированных кейсов злоумышленники смогли более полугода находиться внутри инфраструктуры организации, используя доступы через корпоративный VPN и постепенно расширяя своё присутствие в системе.

Проблема носит системный характер: подобные атаки затрагивают организации из разных отраслей — от промышленности и телекоммуникаций до финансового сектора и государственного управления. Попав внутрь, атакующие действуют как легитимные пользователи: получают доступ к внутренним системам, расширяют права, перемещаются по инфраструктуре и в ряде случаев выходят на смежные или дочерние организации.

При этом сами учетные записи могут оставаться незамеченными длительное время, а их компрометация часто становится отправной точкой для более масштабных инцидентов. По оценкам экспертов, значительная доля атак сегодня начинается именно с доступа к учетным записям — включая привилегированные, — а отсутствие многофакторной аутентификации и контроля доступа только усиливает риски.

В результате меняется сама логика угроз: ключевым становится не внешний периметр, а внутренняя дисциплина управления доступами. О том, каким образом такие «забытые» учетные записи превращаются в инструмент атаки, почему VPN в этой цепочке играет критическую роль и как компаниям выстраивать контроль, рассказал Дмитрий Бабич, ведущий инженер отдела сопровождения информационных систем компании UDV Group:

“В сценариях, связанных с неотключёнными учетными записями, злоумышленникам зачастую не требуется взламывать инфраструктуру в классическом понимании. Им достаточно получить доступ к уже существующей учетной записи. Источники таких доступов хорошо известны: это логины и пароли из старых утечек, результаты фишинговых кампаний или данные, приобретённые на теневых площадках. Если учетная запись бывшего сотрудника своевременно не отключена, она фактически превращается в «легальный вход» в корпоративную среду — без необходимости преодолевать защитные механизмы.

Дополнительный риск связан с тем, что во многих организациях защита по-прежнему ограничивается связкой «логин — пароль». Отсутствие многофакторной аутентификации или использования сертификатов существенно упрощает компрометацию учетных данных. При этом сами учетные записи нередко остаются активными длительное время после увольнения сотрудников. В результате такие доступы становятся удобной целью: их проще подобрать, перехватить или перепродать, а сам факт входа не вызывает подозрений, поскольку используется валидная пара учетных данных.

Ситуация усложняется тем, что доступ к VPN во многих случаях строится на тех же доменных учетных записях. Используются одинаковые логины и пароли, и компрометация одной учетной записи автоматически открывает доступ как к сети, так и к внутренним системам. После подключения через VPN злоумышленник оказывается внутри доверенной зоны, где может развивать атаку — повышать привилегии, перемещаться по инфраструктуре и получать доступ к критичным данным.

Выявление подобных инцидентов требует смещения фокуса: речь идёт не о фиксации самого факта входа, а об анализе поведения учетных записей. Подозрительными сигналами становятся входы в нерабочее время, подключения из нетипичных географических точек, а также действия, нехарактерные для конкретного пользователя — например, массовая выгрузка данных или попытки доступа к системам, с которыми он обычно не работает. Ключевую роль играет регулярный аудит учетных записей: необходимо проверять, какие доступы остаются активными, соответствуют ли они текущим ролям сотрудников и не используются ли «забытые» учетные записи бывших работников или подрядчиков.

Если подобный контроль осуществляется вручную, злоумышленник может оставаться незамеченным длительное время. Он действует под валидной учетной записью и не вызывает явных подозрений. Поэтому на практике применяются специализированные инструменты и выстроенные процессы: системы класса SIEM для анализа событий безопасности, SOAR для автоматизации реагирования, а также решения класса NTA, позволяющие отслеживать сетевую активность и выявлять аномалии даже при использовании легитимных учетных данных.

При этом для небольших организаций задача усложняется ограниченностью ресурсов. Даже если в штате есть не один системный администратор, а небольшой ИТ-отдел, специалисты обычно совмещают эксплуатацию инфраструктуры, поддержку пользователей и решение текущих задач. Информационная безопасность в таких условиях требует отдельного фокуса, круглосуточного мониторинга и специализированных инструментов, что затрудняет полное покрытие рисков силами внутренней команды. Теоретически можно выделить отдельного специалиста по ИБ, однако на практике создание полноценной функции безопасности внутри компании часто уступает по эффективности привлечению внешних специализированных команд или сервисов”.

UDV Group
Автор: UDV Group
UDV Group — российский разработчик в области кибербезопасности промышленных и корпоративных сетей.
Комментарии: