Эксперты BI.ZONE PAM проанализировали практику управления привилегированным доступом в крупном бизнесе и выяснили: пароль остается основным способом аутентификации для критически важных учетных записей.
Исследование показало, что 73% привилегированных учетных записей защищены паролями, тогда как для 27% применяются сертификаты с более надежной криптографической защитой. Хотя в России активно развивается концепция zero trust, парольная аутентификация пока остается основным способом защиты. При этом пароль можно подобрать, получить с помощью фишинга или украсть в результате утечки данных. Сотрудники также могут использовать одинаковые пароли в нескольких системах. В таком случае компрометация одного сервиса способна дать злоумышленникам доступ и к другим корпоративным ресурсам.
До сих пор во многих компаниях пароли не меняют годами. По данным BI.ZONE TDR, в 19% корпоративных аккаунтов используются пароли старше одного года, а в 2% — старше 10 лет. Кроме того, в среднем у 22% учетных записей установлен атрибут PasswordNeverExpires («пароль никогда не истекает»).
У 19% учетных записей пароли такие же, как у других пользователей внутри компании. В одной из организаций этот показатель достигал 43%. Часто причина в том, что сотрудники не меняют стандартные пароли, выданные при трудоустройстве.
Артём Назаретян, руководитель BI.ZONE PAM:
| Даже одна скомпрометированная привилегированная учетная запись может стать точкой входа сразу в несколько критически важных систем. Если при этом используется парольная аутентификация и избыточные права доступа, масштаб потенциальной атаки существенно возрастает.
На этом фоне компании отказываются от статических учетных данных в пользу сертификатной аутентификации и динамического управления доступом. В перспективе 3 лет это может привести к модели беспарольного привилегированного доступа без постоянных привилегий. |
Дополнительный риск создает структура доступа к информационным системам. В среднем по компаниям около 6% учетных записей имеют доступ более чем к 10 тысячам корпоративных систем, а примерно 2% — к десяткам тысяч сетевых ресурсов. При этом 4–5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учетной записи может привести к быстрому распространению атаки внутри инфраструктуры.
Мировая практика движется в сторону отказа от паролей в пользу сертификатной аутентификации и сокращения срока жизни учетных данных. Так, по прогнозам CA/Browser Forum, к 2029 году максимальный срок действия SSL/TLS-сертификатов сократится до 47 дней.
Вероятно, этот тренд скоро придет и в Россию. Администрировать сертификаты вручную на уровне отдельных пользователей станет практически невозможно, поэтому возрастет потребность в централизованном управлении жизненным циклом учетных данных.
В этих условиях ключевую роль начинают играть PAM-платформы. Они автоматизируют выпуск, ротацию и отзыв сертификатов и секретов, объединяя эти процессы в единый цикл. Такой подход снижает операционную нагрузку, а также сокращает риск компрометации учетных данных за счет их регулярного обновления и контроля.
Источник: BI.ZONE
