В 2024 году, несмотря на рост инвестиций в кибербезопасность до внушительных 1100 долларов на пользователя, украденные учетные данные остаются основной причиной крупнейших утечек данных. Удивительно, но злоумышленники могут приобрести эти компрометирующие данные всего за 10 долларов на подпольных форумах. Этот факт ставит под сомнение эффективность традиционных методов защиты и требует пересмотра подхода к обеспечению безопасности.
Проблема кроется не только в низкой стоимости украденных учетных данных. Около 80% атак на веб-приложения происходят именно с использованием скомпрометированных паролей и логинов, согласно данным Verizon. При этом, даже при внедрении многофакторной аутентификации (MFA), значительное число учетных записей остается незащищенным, а злоумышленники находят способы обходить и эту защиту. Рост распространения вредоносного программного обеспечения, известного как «инфостилеры», значительно увеличивает количество скомпрометированных учетных данных. Это ПО предназначено для кражи конфиденциальной информации, включая пароли, которые затем продаются на платформах, таких как Telegram.
Переход к облачным SaaS-приложениям, хотя и приносит удобство и гибкость, также значительно увеличил поверхность атаки. Количество учетных данных, подлежащих краже, растет, а видимость для служб безопасности снижается. В результате, традиционные методы защиты, которые были сосредоточены на локальных системах, таких как Active Directory, оказываются недостаточно эффективными в этом новом ландшафте.
В этом контексте становятся критически важными новые подходы к безопасности. Одним из таких подходов является использование телеметрии браузера. Решения, подобные агенту Push Security, предоставляют возможность отслеживать использование учетных данных и выявлять скомпрометированные аккаунты и пробелы в MFA. Это дает видимость там, где раньше была «слепая зона» — в активности браузеров сотрудников.
Ключевым фактором в борьбе с украденными учетными данными является точная и проверенная аналитика угроз. Сложность заключается в том, чтобы отфильтровать ложные срабатывания. Push Security, например, сравнивает имеющиеся данные об украденных учетных записях с данными об их фактическом использовании для входа в систему. Это позволяет выявить, какие именно учетные данные представляют реальную угрозу, отсеивая 99.5% ложных срабатываний. Из 5763 комбинаций логин-пароль, проанализированных Push Security, только менее 1% оказались реальными угрозами.
Также важен контроль и обеспечение MFA. Исследования Push Security показывают, что в 4 из 5 случаев, когда для входа используется только пароль, у аккаунта отсутствует MFA. Около 10% аккаунтов имеют скомпрометированный, слабый или повторно используемый пароль и не имеют MFA. На фоне этого, учитывая, что в среднем организации используют более 200 приложений, задача по выявлению пробелов в защите и обеспечению MFA на всех платформах становится крайне сложной.
Примерами крупных атак, вызванных кражей учетных данных в 2024 году, являются инциденты с Snowflake, когда пострадало более 165 организаций. Утечка данных Change Healthcare, затронувшая 100 миллионов клиентов и потребовавшая выкуп в 22 миллиона долларов, произошла из-за кражи учетных данных Citrix. Disney также пострадала от взлома серверов Confluence и Slack. Microsoft, в свою очередь, столкнулась с утечкой писем из Office 365 из-за скомпрометированных приложений OAuth. Это лишь некоторые из примеров – в списке пострадавших также есть Finastra, Schneider Electric, Nidec, Foundation, ADT, HealthEquity, Park'N Fly, Roku, и Департамент Здравоохранения Лос-Анджелеса.
В октябре был также взломан ServiceNow-аккаунт Microsoft, что привело к утечке более 250 000 писем сотрудников. Эти примеры показывают, что даже крупные компании с серьезными бюджетами на безопасность не застрахованы от угроз, связанных с украденными учетными данными. Причем, некоторые украденные данные, использованные в атаке на Snowflake, датируются еще 2020 годом.
Решения для идентификации угроз и реагирования на них (ITDR), работающие на основе данных о поведении браузеров, становятся неотъемлемой частью современной кибербезопасности. Они позволяют не только выявлять существующие угрозы, но и предотвращать будущие, закрывая бреши в защите, связанные с кражей учетных данных.
На данный момент существует серьезная необходимость не только во внедрении надежной многофакторной аутентификации (MFA), но и в проверке её наличия и корректной работы. Также важно отслеживать активность пользователей и анализировать ее на предмет аномалий, чтобы оперативно реагировать на потенциальные угрозы. Такие системы контроля могут дополнятся информацией о логинах от основных поставщиков SSO (таких как Okta, Entra, и Google Workspace) и предоставляют более комплексное видение по безопасности.
В итоге, эпоха когда безопасность строилась исключительно вокруг сложных и дорогих систем защиты, осталась в прошлом. В настоящее время ключевую роль играет понимание угроз, связанных с украденными учетными данными, использование современных аналитических инструментов, и комплексный подход к защите, который не игнорирует человеческий фактор и постоянно меняющийся ландшафт киберугроз.
Изображение носит иллюстративный характер
Проблема кроется не только в низкой стоимости украденных учетных данных. Около 80% атак на веб-приложения происходят именно с использованием скомпрометированных паролей и логинов, согласно данным Verizon. При этом, даже при внедрении многофакторной аутентификации (MFA), значительное число учетных записей остается незащищенным, а злоумышленники находят способы обходить и эту защиту. Рост распространения вредоносного программного обеспечения, известного как «инфостилеры», значительно увеличивает количество скомпрометированных учетных данных. Это ПО предназначено для кражи конфиденциальной информации, включая пароли, которые затем продаются на платформах, таких как Telegram.
Переход к облачным SaaS-приложениям, хотя и приносит удобство и гибкость, также значительно увеличил поверхность атаки. Количество учетных данных, подлежащих краже, растет, а видимость для служб безопасности снижается. В результате, традиционные методы защиты, которые были сосредоточены на локальных системах, таких как Active Directory, оказываются недостаточно эффективными в этом новом ландшафте.
В этом контексте становятся критически важными новые подходы к безопасности. Одним из таких подходов является использование телеметрии браузера. Решения, подобные агенту Push Security, предоставляют возможность отслеживать использование учетных данных и выявлять скомпрометированные аккаунты и пробелы в MFA. Это дает видимость там, где раньше была «слепая зона» — в активности браузеров сотрудников.
Ключевым фактором в борьбе с украденными учетными данными является точная и проверенная аналитика угроз. Сложность заключается в том, чтобы отфильтровать ложные срабатывания. Push Security, например, сравнивает имеющиеся данные об украденных учетных записях с данными об их фактическом использовании для входа в систему. Это позволяет выявить, какие именно учетные данные представляют реальную угрозу, отсеивая 99.5% ложных срабатываний. Из 5763 комбинаций логин-пароль, проанализированных Push Security, только менее 1% оказались реальными угрозами.
Также важен контроль и обеспечение MFA. Исследования Push Security показывают, что в 4 из 5 случаев, когда для входа используется только пароль, у аккаунта отсутствует MFA. Около 10% аккаунтов имеют скомпрометированный, слабый или повторно используемый пароль и не имеют MFA. На фоне этого, учитывая, что в среднем организации используют более 200 приложений, задача по выявлению пробелов в защите и обеспечению MFA на всех платформах становится крайне сложной.
Примерами крупных атак, вызванных кражей учетных данных в 2024 году, являются инциденты с Snowflake, когда пострадало более 165 организаций. Утечка данных Change Healthcare, затронувшая 100 миллионов клиентов и потребовавшая выкуп в 22 миллиона долларов, произошла из-за кражи учетных данных Citrix. Disney также пострадала от взлома серверов Confluence и Slack. Microsoft, в свою очередь, столкнулась с утечкой писем из Office 365 из-за скомпрометированных приложений OAuth. Это лишь некоторые из примеров – в списке пострадавших также есть Finastra, Schneider Electric, Nidec, Foundation, ADT, HealthEquity, Park'N Fly, Roku, и Департамент Здравоохранения Лос-Анджелеса.
В октябре был также взломан ServiceNow-аккаунт Microsoft, что привело к утечке более 250 000 писем сотрудников. Эти примеры показывают, что даже крупные компании с серьезными бюджетами на безопасность не застрахованы от угроз, связанных с украденными учетными данными. Причем, некоторые украденные данные, использованные в атаке на Snowflake, датируются еще 2020 годом.
Решения для идентификации угроз и реагирования на них (ITDR), работающие на основе данных о поведении браузеров, становятся неотъемлемой частью современной кибербезопасности. Они позволяют не только выявлять существующие угрозы, но и предотвращать будущие, закрывая бреши в защите, связанные с кражей учетных данных.
На данный момент существует серьезная необходимость не только во внедрении надежной многофакторной аутентификации (MFA), но и в проверке её наличия и корректной работы. Также важно отслеживать активность пользователей и анализировать ее на предмет аномалий, чтобы оперативно реагировать на потенциальные угрозы. Такие системы контроля могут дополнятся информацией о логинах от основных поставщиков SSO (таких как Okta, Entra, и Google Workspace) и предоставляют более комплексное видение по безопасности.
В итоге, эпоха когда безопасность строилась исключительно вокруг сложных и дорогих систем защиты, осталась в прошлом. В настоящее время ключевую роль играет понимание угроз, связанных с украденными учетными данными, использование современных аналитических инструментов, и комплексный подход к защите, который не игнорирует человеческий фактор и постоянно меняющийся ландшафт киберугроз.
