Эксперты Solar выяснили, какие факторы в управлении доступом к инфраструктуре способствуют эксплуатации подобных векторов атак. Как отметили представители более 40% компаний, доступ к информационным ресурсам организаций под учетными записями сотрудников сохраняется после увольнения. Самой частой причиной становится несогласованность действий кадровых служб и ИТ подразделений, ответственных за управление доступом к цифровым активам организаций. Поэтому такие учетные записи могут существовать в корпоративных информационных системах подолгу, а уволенные сотрудники сохраняют доступ к цифровым активам бывшего работодателя. При этом если в компании не внедрены процедуры регулярного обновления парольной политики, именно эти учетные записи чаще всего становятся точкой входа для киберпреступников.
Аналогично в более чем 40% компаний есть сложности с выявлением устаревших учетных записей и накоплением избыточных прав. По мнению экспертов Solar inRights, основные причины — это отсутствие аудита категорий пользователей, большое количество разрозненных информационных систем, общие учетные записи, которые скрывают реального владельца, и различные механизмы предоставления доступа к IT-инфраструктуре.
В 35% случаев отсутствие автоматизации в управлении доступом создает трудности при расследовании инцидентов и получении информации о полномочиях уволенных сотрудников. Таким образом, у компаний нет возможности оперативно реагировать на потенциальные угрозы, анализировать и снижать риски инцидентов, связанных с нелегитимными правами доступа.
Более 25% участников исследования также отметили, что существующие ручные и полуавтоматические скрипты для блокировки учетных записей работают неэффективно. На практике даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным потерям и юридическим последствиям.
Технические учетные записи — еще одна уязвимая точка в управлении доступом к информационным системам. Они создаются для управления инфраструктурой, работы различных ИТ-сервисов. Для таких записей ответственный либо не определяется, либо данные о нем фиксируются в документации на проект по интеграции. Если в компании нет единой системы учета ответственных по таким типам учетных записей, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом для технических учетных записей логины и пароли могут сохраняться годами, если в компании не прописаны требования к регулярной смене паролей. Поэтому возрастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники.
При этом представители более 30% компаний отметили, что не ведут реестр технических учетных записей и ответственных, которые назначены за каждую из них, в четверти компаний не разработана и не исполняется парольная политика в отношении технических «учеток». В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на другую должность.
Участники исследования также отметили проблемы в управлении доступом для подрядчиков и субподрядчиков. В более 40% случаев компании не владеют актуальным статусом об уровне доступа для внешнего контрагента, в трети — доступ прекращается несвоевременно, в 48% компаний нет автоматизированных процессов, чтобы отозвать полномочия и заблокировать учетные записи подрядчиков в случае расторжения договора. Почти в 15% случаев в компаниях не разработана и не исполняется парольная политика для учетных записей подрядчиков, которые имеют доступ к информационным системам.
Как отметили респонденты, в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом. Разрозненные процессы, отсутствие автоматизации и, как следствие, сложный контроль УЗ и полномочий пользователей в ИТ-инфраструктуре серьезно влияют на стабильность кибербезопасности, создают риски, которые влияют на стабильность работы. Еще более острой проблема управления доступом становится в рамках слияний и поглощений. В среднем, в 2023–2024 годах в России фиксируются около 400 сделок M&A в год, и это заставляет компании системно заниматься проблемами аутентификации, идентификации и регулирования доступа на всех уровнях. Автоматизированные системы позволяют провести аудит прав доступа всех сотрудников и контрагентов объединенной компании, а далее обобщить и структурировать политики ИБ на основе комплексного подхода к кибербезопасности.