«Аккаунты-сироты», представляющие собой заброшенные цифровые личности, создают масштабный и скрытый риск безопасности из-за фрагментации инфраструктуры и ограничений традиционных систем управления идентификацией. Эти учетные записи остаются бездействующими в различных приложениях, на платформах, в облачных консолях и активах уже после того, как сотрудники, подрядчики или связанные с ними системы прекратили свою работу. Это явление формирует так называемую «темную материю идентификации» (identity dark matter) — слой, невидимый для инструментов управления, но сохраняющий активность в инфраструктуре. В зону риска попадают не только человеческие пользователи, но и нечеловеческие идентификаторы (NHIs), такие как сервисные аккаунты, боты и API, а также новая категория — Agent-AI, представляющая собой полуавтономные сущности, действующие независимо от операторов-людей.
Ключевая проблема устойчивости таких аккаунтов кроется не в халатности, а в фундаментальной фрагментации IT-среды. Традиционные системы IAM (Identity and Access Management) и IGA (Identity Governance and Administration) изначально разрабатывались преимущественно для людей и зависят от ручных процессов, таких как подключение, интеграция через коннекторы, сопоставление схем, создание каталогов прав и моделирование ролей. Это приводит к «узким местам интеграции», когда многие приложения так и не попадают под полный контроль. Инструменты IAM видят только «управляемые» личности, упуская из виду локальные учетные записи администраторов, служебные идентификаторы и устаревшие системы. Сложности добавляет запутанная структура владения, возникающая из-за текучести кадров, слияний и распределенных команд, а также отсутствие встроенных механизмов управления жизненным циклом для NHIs и Agent-AI.
Эти «аккаунты-сироты» действуют как незапертые черные ходы, часто обладая валидными учетными данными и повышенными привилегиями, что подтверждается конкретными инцидентами. В 2021 году произошла атака на Colonial Pipeline, ставшая классическим примером эксплуатации такой уязвимости. Злоумышленники проникли в сеть через старый, неактивный VPN-аккаунт, который не был защищен многофакторной аутентификацией (MFA). Этот случай наглядно продемонстрировал, как одна забытая учетная запись может парализовать критически важную инфраструктуру.
Угроза продолжает эволюционировать, что подтверждают данные за 2025 год. Согласно отчету специалистов центра мониторинга безопасности (SOC) компании Barracuda Managed XDR, производственная компания подверглась атаке группировки Akira Ransomware. В данном случае взлом был осуществлен через «призрачный» аккаунт стороннего поставщика, который не был деактивирован вовремя. Подобные инциденты подчеркивают, что риск исходит не только от внутренних сотрудников, но и от всей цепочки поставок, где контроль за доступом часто ослаблен.
Особую категорию рисков создают процессы слияний и поглощений (M&A). Консолидация систем после сделки часто выявляет тысячи устаревших токенов и аккаунтов. Токены бывших сотрудников отмечаются экспертами как постоянная угроза с очень высоким уровнем активности уже после увольнения персонала. С операционной точки зрения это приводит к раздуванию количества лицензий, ненужным накладным расходам на аудит и замедлению реагирования на инциденты и проведение криминалистического анализа.
Наличие бесхозных аккаунтов также создает прямые юридические и нормативные риски. Это является прямым нарушением требований принципа наименьших привилегий и правил депровижининга, закрепленных в таких стандартах, как ISO 27001, NIS2, PCI DSS и FedRAMP. Неспособность контролировать эти сущности ставит организации под угрозу штрафов и невозможности пройти обязательную сертификацию, необходимую для работы на регулируемых рынках.
Решением проблемы является переход от предположений к доказательствам через внедрение непрерывного аудита идентификации (Continuous Identity Audit) и полной наблюдаемости (Full Identity Observability). Ключевые стратегии смягчения рисков включают сбор телеметрии идентификации как из управляемых, так и из неуправляемых приложений, а также создание единого аудиторского следа. Последний должен коррелировать события найма, перемещения и увольнения сотрудников с журналами аутентификации и данными об использовании систем.
Эффективная защита требует картирования контекста ролей, чтобы документировать, кто, что, когда и почему использовал, а также непрерывного принудительного исполнения политик безопасности. Это подразумевает автоматическую маркировку или вывод из эксплуатации аккаунтов, по которым не наблюдается активности или отсутствует владелец. Только такой подход позволяет устранить разрыв между формальным управлением доступом и реальным положением дел в инфраструктуре.
В этом контексте решение Orchid позиционируется не как очередная система IAM, а как «соединительная ткань», обеспечивающая проверяемую информацию. Продукт Orchid предлагает функциональность аудита идентификации, объединяя телеметрию уровня приложений с автоматизированным сбором аудиторских данных. Это позволяет охватить все типы сущностей — людей, нечеловеческие идентификаторы и Agent-AI — предоставляя необходимую прозрачность для закрытия уязвимостей, которые эксплуатируют такие группы, как Akira.
Изображение носит иллюстративный характер
Ключевая проблема устойчивости таких аккаунтов кроется не в халатности, а в фундаментальной фрагментации IT-среды. Традиционные системы IAM (Identity and Access Management) и IGA (Identity Governance and Administration) изначально разрабатывались преимущественно для людей и зависят от ручных процессов, таких как подключение, интеграция через коннекторы, сопоставление схем, создание каталогов прав и моделирование ролей. Это приводит к «узким местам интеграции», когда многие приложения так и не попадают под полный контроль. Инструменты IAM видят только «управляемые» личности, упуская из виду локальные учетные записи администраторов, служебные идентификаторы и устаревшие системы. Сложности добавляет запутанная структура владения, возникающая из-за текучести кадров, слияний и распределенных команд, а также отсутствие встроенных механизмов управления жизненным циклом для NHIs и Agent-AI.
Эти «аккаунты-сироты» действуют как незапертые черные ходы, часто обладая валидными учетными данными и повышенными привилегиями, что подтверждается конкретными инцидентами. В 2021 году произошла атака на Colonial Pipeline, ставшая классическим примером эксплуатации такой уязвимости. Злоумышленники проникли в сеть через старый, неактивный VPN-аккаунт, который не был защищен многофакторной аутентификацией (MFA). Этот случай наглядно продемонстрировал, как одна забытая учетная запись может парализовать критически важную инфраструктуру.
Угроза продолжает эволюционировать, что подтверждают данные за 2025 год. Согласно отчету специалистов центра мониторинга безопасности (SOC) компании Barracuda Managed XDR, производственная компания подверглась атаке группировки Akira Ransomware. В данном случае взлом был осуществлен через «призрачный» аккаунт стороннего поставщика, который не был деактивирован вовремя. Подобные инциденты подчеркивают, что риск исходит не только от внутренних сотрудников, но и от всей цепочки поставок, где контроль за доступом часто ослаблен.
Особую категорию рисков создают процессы слияний и поглощений (M&A). Консолидация систем после сделки часто выявляет тысячи устаревших токенов и аккаунтов. Токены бывших сотрудников отмечаются экспертами как постоянная угроза с очень высоким уровнем активности уже после увольнения персонала. С операционной точки зрения это приводит к раздуванию количества лицензий, ненужным накладным расходам на аудит и замедлению реагирования на инциденты и проведение криминалистического анализа.
Наличие бесхозных аккаунтов также создает прямые юридические и нормативные риски. Это является прямым нарушением требований принципа наименьших привилегий и правил депровижининга, закрепленных в таких стандартах, как ISO 27001, NIS2, PCI DSS и FedRAMP. Неспособность контролировать эти сущности ставит организации под угрозу штрафов и невозможности пройти обязательную сертификацию, необходимую для работы на регулируемых рынках.
Решением проблемы является переход от предположений к доказательствам через внедрение непрерывного аудита идентификации (Continuous Identity Audit) и полной наблюдаемости (Full Identity Observability). Ключевые стратегии смягчения рисков включают сбор телеметрии идентификации как из управляемых, так и из неуправляемых приложений, а также создание единого аудиторского следа. Последний должен коррелировать события найма, перемещения и увольнения сотрудников с журналами аутентификации и данными об использовании систем.
Эффективная защита требует картирования контекста ролей, чтобы документировать, кто, что, когда и почему использовал, а также непрерывного принудительного исполнения политик безопасности. Это подразумевает автоматическую маркировку или вывод из эксплуатации аккаунтов, по которым не наблюдается активности или отсутствует владелец. Только такой подход позволяет устранить разрыв между формальным управлением доступом и реальным положением дел в инфраструктуре.
В этом контексте решение Orchid позиционируется не как очередная система IAM, а как «соединительная ткань», обеспечивающая проверяемую информацию. Продукт Orchid предлагает функциональность аудита идентификации, объединяя телеметрию уровня приложений с автоматизированным сбором аудиторских данных. Это позволяет охватить все типы сущностей — людей, нечеловеческие идентификаторы и Agent-AI — предоставляя необходимую прозрачность для закрытия уязвимостей, которые эксплуатируют такие группы, как Akira.
