В течение многих лет эксперты по кибербезопасности предупреждали организации о важности процессов управления идентификацией и доступом, включая управление паролями и защиту от взлома многофакторной аутентификации, для защиты ИТ-активов.
Новый отчет IBM, опубликованный в среду, предполагает, что неспособность сделать это все чаще обходится компаниям очень дорого.
Злоупотребление действительными учетными записями было связано с тройной связью, поскольку это наиболее распространенный способ проникновения злоумышленников в ИТ-среду организаций в инцидентах, которые разведывательная служба IBM X-Force расследовала в 2023 году.
Это составило 30 процентов первоначальных векторов проникновения для изученных инцидентов, связанных с фишингом. На втором месте оказалась эксплуатация общедоступных приложений: 29 процентов инцидентов.
Ситуация со злоупотреблением действительными учетными записями еще более примечательна, поскольку это был настоящий скачок по сравнению с отчетом 2022 года, когда это был первоначальный вектор доступа в 16 процентах инцидентов, рассмотренных в том году.
Злоумышленники исторически склонны выбирать путь наименьшего сопротивления для достижения своих целей, говорится в докладе.
«В эту эпоху акцент сместился в сторону входа в систему, а не взлома, что подчеркивает относительную простоту получения учетных данных по сравнению с использованием уязвимостей или проведением фишинговых кампаний», — отметили в нем.
«По мере того, как защитники расширяют свои возможности обнаружения и предотвращения, злоумышленники обнаруживают, что получение действительных учетных данных — это более простой путь к достижению их целей, учитывая тревожный объем скомпрометированных, но действительных учетных данных, доступных — и легко доступных — в темной сети».
Исследователи обнаружили, что одни только учетные данные облачных учетных записей составляют 90 процентов облачных активов, продаваемых в даркнете. Это, как говорится в отчете, позволяет злоумышленникам легко перехватывать учетные данные законных пользователей для получения доступа к ИТ-среде. Использование злоумышленниками действительных учетных записей в качестве первоначального вектора доступа, по-видимому, также оказывает существенное влияние на необходимые усилия по реагированию, добавляется в отчете.
Еще один важный вывод: 100-процентное увеличение «Kerberoasting». Это метод, направленный на компрометацию учетных данных Microsoft Windows Active Directory с помощью билетов Kerberos. Это указывает на изменение техники получения злоумышленниками личных данных для выполнения своих операций, отмечается в отчете.
Возможно, это не совпадение: в прошлом году исследователи наблюдали рост использования злоумышленниками средств похитителей информации, которые крадут учетные данные, а также другую компьютерную информацию, на 266 процентов.
Почти в 85 процентах инцидентов в критической инфраструктуре, на которые отреагировала X-Force, первоначальный вектор доступа можно было смягчить с помощью лучших практик и основ безопасности, таких как управление активами и исправлениями, усиление учетных данных и принцип наименьших привилегий.
Согласно канадским данным, полученным на основе данных, собранных IBM, половина атак здесь была направлена против государственного сектора. По сравнению с другими странами, в Канаде произошло больше всего инцидентов, связанных с безопасностью государственных учреждений, на которые отреагировала X-Force.
Отчет IBM X-Force Threat Intelligence Index 2024 доступен здесь. Требуется регистрация.
2024-02-21 20:04:32
1708892892
#По #данным #IBM #злоупотребление #действительными #учетными #записями #со #стороны #злоумышленников #достигает #максимума
