В 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. По данным центра противодействия кибератакам Solar JSOC ГК «Солар», с начала года число подобных инцидентов выросло в два раза, достигнув рекордных значений. Одна из причин — резкий рост атак типа «распыление паролей», то есть подбор логина к имеющемуся словарному паролю.

Подобная атака является разновидностью брутфорса, то есть техники взлома учетной записи, при которой перебираются все возможные варианты логинов и паролей. В данном случае речь идет о попытках злоумышленников подобрать разные логины к одному словарному паролю. Такие пароли — это несложные комбинации, которые состоят из распространенных слов и фраз (12345, Qwerty, Password_0000 и т.п.).

«Все чаще ИБ-службы организаций отслеживают попытки злоумышленников много раз ввести разные пароли к конкретной учетной записи. В случае подобного инцидента учетную запись сразу заблокируют. Но перебор логина может выглядеть как неудачные попытки входа разных пользователей, что не всегда индексируется как инцидент. Чтобы защититься от подобных атак, организациям надо отслеживать перебор логинов наравне с паролями, а также настроить политики безопасности, которые не дадут сотрудникам придумывать простые комбинации. Также словари могут включать ранее утекшие пароли, поэтому в организации должна быть практика их регулярной замены», — пояснила руководитель направления развития бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.

Распыление паролей — не единственная причина инцидентов, связанных с компрометацией учетных записей в 3 квартале. Часть из них произошла из-за инцидента типа «неправильная геолокация VPN-подключений». Причиной могут быть действия хакера, который пытается скомпрометировать учетные записи сотрудников с адресов, находящихся в подозрительных локациях (например, в других странах).

В то же время такая категория инцидентов может быть вызвана нелегитимными действиями самих сотрудников. Например, если они едут в командировку, не уведомив ИБ-отдел, или берут с собой рабочие ноутбуки на отдых. Это тревожный тренд в условиях колоссальной киберугрозы, с которой столкнулась российская инфраструктура — любая несогласованность в части кибербезопасности создает новые риски для организации. А поток подобных событий ИБ формирует дополнительную нагрузку как на мониторинг, так и на ИБ-отделы компаний, которые должны отрабатывать эти оповещения.

К тому же, как ранее сообщали эксперты Solar inRights (IdM-система ГК «Солар»), более 40% компаний сохраняют активными учетные записи уволенных сотрудников. Контроль за ними, как правило, никто не ведет, пароли от них не меняются, и именно эти учетные записи чаще всего становятся точкой входа для киберпреступников. Так, почти в половине расследований, проведенных командой центра исследования киберугроз Solar 4RAYS, злоумышленники попали в инфраструктуру жертвы именно через скомпрометированные аккаунты сотрудников, что еще раз подтверждает необходимость надежных парольных политик в компаниях.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Белорусская команда победила на IV Международном киберчемпионате по информационной безопасности

Белорусская команда победила на IV Международном киберчемпионате по информационной безопасности

Узнать больше
«Почта России» и лидеры рынка ИБ запускают первый в РФ проект построения киберустойчивости

«Почта России» и лидеры рынка ИБ запускают первый в РФ проект построения киберустойчивости

Узнать больше
Исследование «Солар» и hh.ru: российские компании готовы платить на 36% больше профессионалам в кибербезопасности

Исследование «Солар» и hh.ru: российские компании готовы платить на 36% больше профессионалам в кибербезопасности

Узнать больше
Защита как драйвер роста: как кибербезопасность меняет правила игры в промышленности

Защита как драйвер роста: как кибербезопасность меняет правила игры в промышленности

Узнать больше
Исследование ТеДо и ГК «Солар»: горизонт стратегического планирования информационной безопасности в компаниях сократился до 3 лет

Исследование ТеДо и ГК «Солар»: горизонт стратегического планирования информационной безопасности в компаниях сократился до 3 лет

Узнать больше
«Солар» и НОТА формируют экосистему совместимых решений в сфере защиты данных, сетевой безопасности и безопасной разработки

«Солар» и НОТА формируют экосистему совместимых решений в сфере защиты данных, сетевой безопасности и безопасной разработки

Узнать больше
День защиты детей — время сделать интернет безопасным

День защиты детей — время сделать интернет безопасным

Узнать больше
ГК «Солар»: хакеры переключились на шпионаж и сложные атаки в телекоме и промышленности

ГК «Солар»: хакеры переключились на шпионаж и сложные атаки в телекоме и промышленности

Узнать больше
«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

Узнать больше
Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Узнать больше