В третьем квартале 2024 года более 70% особо критических киберинцидентов были связаны с компрометацией учетных записей сотрудников. По данным центра противодействия кибератакам Solar JSOC компании Solar Group, количество таких инцидентов с начала года удвоилось, достигнув рекордных показателей. Одной из причин является резкое увеличение атак с распылением паролей, т. е. подбора логина к существующему словарному паролю.
Данный тип атак является разновидностью brute force, то есть техники взлома аккаунта, которая заключается в переборе всех возможных логинов и паролей. В данном случае речь идет о попытках злоумышленников подобрать разные логины для одного словарного пароля. Такие пароли представляют собой простые комбинации, состоящие из общих слов и фраз (12345, Qwerty, Password_0000 и т. д.).
«Все чаще службы информационной безопасности организаций отслеживают попытки злоумышленников многократно вводить разные пароли для определенной учетной записи. В случае возникновения такого инцидента учетная запись будет немедленно заблокирована. Но подбор паролей может выглядеть как неудачные попытки входа разными пользователями, что не всегда индексируется как инцидент. Для защиты от таких атак организациям необходимо отслеживать подбор паролей вместе с паролями, а также настраивать политики безопасности, которые не позволят сотрудникам придумывать простые комбинации. В словарях также могут быть ранее украденные пароли, поэтому в организации должна быть практика их регулярной замены», — пояснила Евгения Хамракулова, руководитель направления развития бизнеса центра противодействия кибератакам Solar JSOC компании Solar Group.
Распыление паролей — не единственная причина инцидентов компрометации учетных записей в третьем квартале. Часть из них была вызвана инцидентом «неправильная геолокация VPN-подключения». Это может быть вызвано попыткой хакера скомпрометировать учетные записи сотрудников с адресов в подозрительных локациях (например, в других странах).
В то же время, данная категория инцидентов может быть вызвана неправомерными действиями самих сотрудников. Например, если они отправляются в командировку, не уведомив об этом отдел информационной безопасности, или берут с собой в отпуск рабочие ноутбуки. Это тревожная тенденция в контексте колоссальной киберугрозы, с которой сталкивается российская инфраструктура — любая несогласованность в кибербезопасности создает новые риски для организации. А поток таких событий информационной безопасности создает дополнительную нагрузку как на мониторинговые, так и на отделы информационной безопасности компаний, которые должны обрабатывать эти оповещения.
Кроме того, как ранее сообщали эксперты Solar inRights (система IdM Solar Group), более 40% компаний ведут активные учетные записи уволенных сотрудников. Как правило, за ними никто не следит, пароли к ним не меняются, и именно эти аккаунты чаще всего становятся точкой входа для киберпреступников. Так, почти в половине расследований, проведенных командой центра исследования киберугроз Solar 4RAYS, злоумышленники проникали в инфраструктуру жертвы через скомпрометированные учетные записи сотрудников, что еще раз подтверждает необходимость надежной парольной политики в компаниях.
Свежие комментарии