В III квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. С начала года число подобных инцидентов выросло в два раза, достигнув рекордных значений. Одна из причин — резкий рост атак типа «распыление паролей», то есть подбор логина к имеющемуся словарному паролю. Это следует из данных центра противодействия кибератакам Solar JSOC ГК «Солар», с которыми ознакомились «Известия» 29 октября.
Объясняется, что подобная атака является разновидностью брутфорса, то есть техники взлома учетной записи, при которой перебираются все возможные варианты логинов и паролей. В данном случае речь идет о попытках злоумышленников подобрать разные логины к одному словарному паролю. Такие пароли — это несложные комбинации, которые состоят из распространенных слов и фраз (12345, Qwerty, Password_0000 и т.п.).
«Всё чаще ИБ-службы организаций отслеживают попытки злоумышленников много раз ввести разные пароли к конкретной учетной записи. В случае подобного инцидента учетную запись сразу заблокируют. Но перебор логина может выглядеть как неудачные попытки входа разных пользователей, что не всегда индексируется как инцидент», — пояснила руководитель направления развития бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.
По ее словам, чтобы защититься от подобных атак, организациям надо отслеживать перебор логинов наравне с паролями, а также настроить политики безопасности, которые не дадут сотрудникам придумывать простые комбинации. Также словари могут включать ранее утекшие пароли, поэтому в компаниях должна быть практика их регулярной замены.Как указано, распыление паролей — не единственная причина инцидентов, связанных с компрометацией учетных записей в III квартале. Часть из них произошла из-за инцидента типа «неправильная геолокации VPN-подключений». Причиной могут быть действия хакера, который пытается скомпрометировать учетные записи сотрудников с адресов, находящихся в подозрительных локациях, например в других странах.
Отмечается, что в то же время такая категория инцидентов может быть вызвана нелегитимными действиями самих сотрудников. Например, если они едут в командировку, не уведомив ИБ-отдел, или берут с собой рабочие ноутбуки на отдых.
Это тревожный тренд в условиях колоссальной киберугрозы, с которой столкнулась российская инфраструктура — любая несогласованность в части кибербезопасности создает новые риски для организации. А поток подобных событий ИБ формирует дополнительную нагрузку как на мониторинг, так и на ИБ-отделы компаний, которые должны отрабатывать эти оповещения, добавили в центре.
Комментарии