07
Незаконный доступ к учетным данным
Незаконный доступ к учетным данным — этап кибератаки, когда злоумышленник завладевает учетными данными пользователей, хранящимися в системе. Это важнейшее звено в цепочке действий атакующих, описанное в концепции MITRE ATT&CK, позволяет выдавать себя за легитимных пользователей систем и обходить традиционные меры защиты и контроля доступа.
Чтобы незаконно получать доступ к учетным данным, злоумышленники применяют самые разные тактики и техники атак, постоянно изобретают новые. Например, запускают фишинговые кампании, чтобы получить от пользователей данные для входа в систему, или проводят брутфорс-атаки — методично подбирают пароль, пока не найдут подходящий. Кроме того, широко распространена практика эксплуатации слабых или стандартных паролей (поскольку правилами создания надежных паролей повсеместно пренебрегают), а также различных программ, предназначенных для сбора учетных данных прямо с компьютеров пользователей. Завладев корректными учетными данными, злоумышленник может получить доступ к конфиденциальной информации, манипулировать ею в своих целях, устанавливать вредоносное ПО, создавать лазейки для доступа в будущем — и все это время оставаться незамеченным. Подобные проникновения в систему могут обернуться целым рядом серьезных последствий: они создают значительные риски не только для непосредственной защиты данных, но и для целостности всей цифровой инфраструктуры организации.
01
Влияние незаконного доступа к учетным данным на бизнес
Воздействие, которое оказывает незаконный доступ к учетным данным, не ограничивается проникновением в системы безопасности: оно распространяется на каждый аспект бизнеса, нанося вред финансовым показателям, операционной деятельности и репутации.
Финансовые потери
Атаки на основе незаконного доступа к учетным данным зачастую приводят к прямым финансовым потерям. Злоумышленники могут использовать такие данные, чтобы завладеть денежными средствами, совершать незаконные транзакции или перенаправлять финансовые переводы. Помимо этого, меры по реагированию на взломы чреваты для компаний значительными затратами, в частности на криминалистическую экспертизу, восстановление систем и оплату юридических услуг. Согласно отчету Центрального банка РФ, в 2024 г. ущерб от атак на финансовый сектор превысил 6 млрд рублей, при этом 70% киберинцидентов были связаны с хищением средств. Это наглядно показывает, какую экономическую угрозу создает незаконный доступ к учетным данным.
Финансовые потери
Атаки на основе незаконного доступа к учетным данным зачастую приводят к прямым финансовым потерям. Злоумышленники могут использовать такие данные, чтобы завладеть денежными средствами, совершать незаконные транзакции или перенаправлять финансовые переводы. Помимо этого, меры по реагированию на взломы чреваты для компаний значительными затратами, в частности на криминалистическую экспертизу, восстановление систем и оплату юридических услуг. Согласно отчету Центрального банка РФ, в 2024 г. ущерб от атак на финансовый сектор превысил 6 млрд рублей, при этом 70% киберинцидентов были связаны с хищением средств. Это наглядно показывает, какую экономическую угрозу создает незаконный доступ к учетным данным.
Нарушение операционной деятельности
Незаконный доступ к учетным данным может подорвать деятельность компании, став причиной простоев и перебоев в работе. Злоумышленники могут использовать чувствительные корпоративные данные, чтобы внедрить программу-вымогатель и тем самым вызвать масштабные блокировки в системе. В таких случаях прерываются важнейшие бизнес-процессы, что ведет к падению выручки и усложнению отношений с клиентами и другими заинтересованными лицами. Каскадный эффект от нарушений операционной деятельности может оказаться разрушительным, особенно для малых и средних предприятий, ресурсы которых довольно ограниченны.
Репутационный ущерб
Краеугольный камень отношений компании с клиентами — доверие, и атаки на основе несанкционированного доступа к учетным данным могут нанести доверию непоправимый ущерб. Они влекут потерю клиентов, партнеров и снижение рыночной капитализации. Долгосрочный репутационный ущерб может намного превысить прямые финансовые потери, повлияв на перспективы компании и ее дальнейший рост. Чтобы вернуть доверие клиентов, требуются немалые усилия и время, причем полное восстановление не всегда гарантировано.
Выявление уязвимостей и векторов атаки
Чтобы предотвратить незаконный доступ к учетным данным, нужно прежде всего определить уязвимости и векторы атаки, которые используют злоумышленники. Выявление этих слабых мест позволит специалистам по ИТ и ИБ принять адресные меры по укреплению средств защиты. Рассмотрим типичные уязвимости, которые открывают пути для незаконного доступа к учетным данным.
Незаконный доступ к учетным данным может подорвать деятельность компании, став причиной простоев и перебоев в работе. Злоумышленники могут использовать чувствительные корпоративные данные, чтобы внедрить программу-вымогатель и тем самым вызвать масштабные блокировки в системе. В таких случаях прерываются важнейшие бизнес-процессы, что ведет к падению выручки и усложнению отношений с клиентами и другими заинтересованными лицами. Каскадный эффект от нарушений операционной деятельности может оказаться разрушительным, особенно для малых и средних предприятий, ресурсы которых довольно ограниченны.
Репутационный ущерб
Краеугольный камень отношений компании с клиентами — доверие, и атаки на основе несанкционированного доступа к учетным данным могут нанести доверию непоправимый ущерб. Они влекут потерю клиентов, партнеров и снижение рыночной капитализации. Долгосрочный репутационный ущерб может намного превысить прямые финансовые потери, повлияв на перспективы компании и ее дальнейший рост. Чтобы вернуть доверие клиентов, требуются немалые усилия и время, причем полное восстановление не всегда гарантировано.
Выявление уязвимостей и векторов атаки
Чтобы предотвратить незаконный доступ к учетным данным, нужно прежде всего определить уязвимости и векторы атаки, которые используют злоумышленники. Выявление этих слабых мест позволит специалистам по ИТ и ИБ принять адресные меры по укреплению средств защиты. Рассмотрим типичные уязвимости, которые открывают пути для незаконного доступа к учетным данным.
02
Распространенные уязвимости, провоцирующие несанкционированный доступ
- Ошибки в конфигурации систем
Если система настроена неправильно, то в нее могут легко проникнуть злоумышленники. Под неверной конфигурацией понимают ситуацию, когда по умолчанию заданы небезопасные настройки, а критически важные системы обслуживаются лишними службами. Конфигурация неверна и в тех случаях, когда установлены ненадлежащие разрешения для файлов и т. д. Для снижения этих рисков нужно регулярно проводить аудит и применять передовые методы обеспечения безопасности.
- Устаревшее ПО
Стремясь получить несанкционированный доступ к ресурсам, злоумышленники часто проводят атаки через программные уязвимости. Если регулярно не закрывать их с помощью обновлений, то эксплуатация ПО будет создавать значительный риск. Чтобы устранять уязвимости в кратчайшие сроки, необходимо обеспечить эффективное управление исправлениями. Одна из лазеек, позволяющих незаконно завладеть учетными данными, — механизм аутентификации по протоколу NTLM.
- Слабозащищенные методы аутентификации
Риск несанкционированного доступа к учетным данным значительно повышается, если для аутентификации применяется один фактор, особенно когда у пользователя слабый пароль или он входит на разные ресурсы по одному и тому же паролю. Чтобы повысить уровень защиты, нужно ввести требование использовать сильные пароли, а также внедрить механизмы многофакторной аутентификации (MFA).
- Администраторы с именами субъектов-служб (service principal name, SPN)
Имя участника субъекта-службы — это уникальный идентификатор экземпляра службы. Злоумышленник может идентифицировать сервисную учетную запись и направить запрос на выдачу билета к ней, зашифрованного с помощью хэша пароля этой учетной записи. Затем эти данные можно перенести на локальный компьютер и взломать, получив возможность попасть на любые ресурсы, к которым есть доступ у этой сервисной учетной записи.
03
Новые методы получения незаконного доступа к учетным данным и тенденции в этой сфере
- Фишинговые кампании, проводимые с помощью ИИ
Искусственный интеллект (ИИ) помогает злоумышленникам составлять более убедительные фишинговые электронные письма и сообщения, поэтому пользователям все труднее определять их легитимность.
- Получение учетных данных из памяти системы (Credential Dumping)
Злоумышленники могут получить данные учетной записи, предназначенные для входа, из самой системы. Обычно они добиваются этого путем несанкционированного доступа. Главная цель подобной атаки — завладеть действительными учетными данными пользователей (их именами и паролями или хешами паролей), чтобы применять эти сведения в ходе последующих взломов, проводимых путем латерального перемещения в сети, повышения привилегий или получения доступа к закрытым системам и данным.
- Подстановка учетных данных (Credential Stuffing)
Так называют автоматизированные атаки, в ходе которых ранее утекшие учетные данные служат для получения доступа к учетным записям в различных службах. Чтобы бороться с такими атаками, можно вводить правила блокировки учетных записей и отслеживать необычные попытки входа в систему.
- Атаки с передачей хеша (PtH) или билета (PtT)
Так называют методы, которые позволяют атакующим пройти аутентификацию на удаленном сервере или в удаленной службе при помощи токенов NTLM или Kerberos, не располагая паролем пользователя в текстовом виде. Для защиты от подобных атак необходимо применять механизмы строгого контроля и выявлять аномальные паттерны аутентификации.
Чтобы снизить риск воздействия сложных угроз, сопряженных с несанкционированным доступом к учетным данным, организациям следует применять упреждающий многоуровневый подход к защите, объединяя технологические решения со стратегиями, ориентированными на людей.