21.08.2025

В эпоху сложных киберугроз и передовых техник атак, парадоксально, что самые разрушительные инциденты часто происходят не из-за изощренных эксплойтов, а из-за банальных слабых паролей и скомпрометированных учетных записей. Blue Report 2025 от Picus Security представляет тревожную картину: несмотря на широкую осведомленность об этих угрозах, организации по-прежнему терпят неудачу в базовых аспектах парольной безопасности.

Методология исследования: Эмпирические данные против предположений

Уникальный подход Blue Report

Blue Report 2025 отличается от традиционных отчетов по кибербезопасности фундаментальным подходом к сбору данных. Вместо опросов или анализа трендов, исследование базируется на эмпирических результатах более чем 160 миллионов симуляций атак, проведенных в реальных сетевых средах организаций по всему миру через платформу Picus Security Validation Platform.

Преимущества методологии:

  • Реальные условия: тестирование в действующих корпоративных сетях
  • Масштаб: глобальный охват различных отраслей и размеров организаций
  • Объективность: измеримые результаты вместо субъективных оценок
  • Актуальность: тестирование современных техник атак

Шокирующая статистика: Удвоение успешности взлома паролей

Критический рост уязвимостей

Ключевая статистика 2025 года:

  • 46% тестируемых сред подверглись успешному взлому паролей
  • Практически удвоение по сравнению с предыдущим годом
  • 98% успешность использования действительных учетных записей (MITRE ATT&CK T1078)

Анализ причин роста

Фундаментальные проблемы:

  1. Слабые пароли: продолжающееся использование легко угадываемых комбинаций
  2. Устаревшие алгоритмы хеширования: отсутствие современных криптографических методов
  3. Недостаток соления: неиспользование техник усложнения хешей
  4. Отсутствие MFA: игнорирование многофакторной аутентификации

Парадокс приоритетов: В погоне за противодействием самым современным угрозам, организации упускают базовые принципы парольной гигиены, создавая фундаментальные бреши в безопасности.

Анатомия проблемы: Почему организации терпят неудачу

Корневые причины уязвимостей

1. Неадекватные парольные политики

Проблемные практики:

  • Слабые требования к сложности паролей
  • Редкая смена паролей
  • Повторное использование учетных данных
  • Особая проблема внутренних аккаунтов: более слабый контроль по сравнению с внешними

2. Технические недостатки

Устаревшие методы защиты:

  • Слабые алгоритмы хеширования (MD5, SHA1)
  • Отсутствие солирования хешей
  • Неэффективные методы хранения паролей
  • Уязвимость к атакам по словарю и rainbow table

3. Организационные проблемы

Системные сбои:

  • Недофинансирование систем управления идентификацией
  • Приоритет периметральной защиты над внутренней
  • Недостаток обучения сотрудников
  • Отсутствие регулярной валидации защитных мер

Эмпирические данные о масштабе проблемы

Результаты исследования показали:

  • 46% сред имели минимум один взломанный хеш пароля
  • Успешное преобразование хешей в открытый текст
  • Особенно высокая уязвимость внутренних учетных записей
  • Критическая недооценка угрозы credential-based атак

Credential-Based атаки: Невидимая угроза с разрушительными последствиями

Особенности современных credential-based атак

Стелс-характеристики

Преимущества для атакующих:

  • Легитимный доступ: использование действительных учетных данных
  • Обход защиты: традиционные системы не распознают активность как вредоносную
  • Латеральное движение: свободное перемещение по сети
  • Длительное присутствие: незаметное пребывание в системе

Техники эксплуатации

Методы использования скомпрометированных данных:

  1. Инфостилеры: специализированное ПО для кражи учетных данных
  2. Программы-вымогатели: использование украденных данных для распространения
  3. Брокеры первичного доступа: продажа скомпрометированных аккаунтов
  4. APT-группы: долгосрочное проникновение через действительные учетные записи

Жизненный цикл credential-based атаки

Фаза 1: Получение учетных данных

Источники компрометации:

  • Фишинговые кампании
  • Утечки данных
  • Инфостилеры и трояны
  • Атаки на слабые пароли
  • Социальная инженерия

Фаза 2: Первичный доступ

Использование украденных данных:

  • Аутентификация в корпоративных системах
  • Обход многофакторной аутентификации (при ее отсутствии)
  • Маскировка под легитимных пользователей

Фаза 3: Закрепление и эскалация

Развитие атаки:

  • Исследование сетевой инфраструктуры
  • Поиск дополнительных учетных записей
  • Эскалация привилегий
  • Установка постоянного присутствия

Фаза 4: Латеральное движение

Распространение по сети:

  • Использование доверительных отношений
  • Эксплуатация внутренних сервисов
  • Компрометация дополнительных систем
  • Обход сегментации сети

Фаза 5: Достижение целей

Финальные действия:

  • Кража конфиденциальных данных
  • Развертывание программ-вымогателей
  • Саботаж критических систем
  • Создание постоянных точек доступа

MITRE ATT&CK T1078: Самый эксплуатируемый вектор атак

Статистика использования действительных аккаунтов

Критические показатели:

  • 98% успешность техники T1078 (Valid Accounts)
  • Самый эксплуатируемый метод в MITRE ATT&CK
  • Основа для большинства современных киберинцидентов

Подтехники T1078

T1078.001: Default Accounts

Эксплуатация учетных записей по умолчанию:

  • Неизмененные пароли системных аккаунтов
  • Стандартные учетные записи приложений
  • Неотключенные тестовые аккаунты

T1078.002: Domain Accounts

Использование доменных учетных записей:

  • Скомпрометированные пользовательские аккаунты
  • Украденные привилегированные учетные записи
  • Эксплуатация доверительных отношений домена

T1078.003: Local Accounts

Локальные учетные записи:

  • Администраторские аккаунты на отдельных системах
  • Сервисные учетные записи приложений
  • Скрытые пользовательские аккаунты

T1078.004: Cloud Accounts

Облачные учетные записи:

  • Скомпрометированные аккаунты Office 365, AWS, Azure
  • Неправильно сконфигурированные облачные сервисы
  • Эксплуатация федеративных систем аутентификации

Почему T1078 так эффективна

Преимущества для атакующих:

  • Легитимность: действия выглядят как обычная активность пользователя
  • Широкие возможности: доступ ко всем ресурсам, доступным пользователю
  • Сложность обнаружения: традиционные системы мониторинга не фиксируют аномалии
  • Масштабируемость: возможность компрометации множественных аккаунтов

Современные угрозы: Эволюция credential-based атак

Инфостилеры нового поколения

Характеристики современных инфостилеров:

  • Многоцелевые возможности: кража паролей, cookies, токенов
  • Обход защиты: использование легитимных процессов
  • Автоматизация: массовый сбор и обработка данных
  • Интеграция с даркнетом: прямая продажа данных

Популярные семейства:

  • RedLine Stealer
  • Raccoon Stealer
  • Vidar
  • AZORult

Программы-вымогатели и credential abuse

Роль украденных учетных данных:

  • Первичный доступ: основной вектор проникновения
  • Латеральное движение: распространение по сети
  • Эскалация привилегий: получение административных прав
  • Обход защиты: использование доверенных аккаунтов

Известные случаи:

  • Атаки Conti с использованием украденных RDP-данных
  • Эксплуатация учетных записей администраторов группами LockBit
  • Использование облачных аккаунтов в атаках BlackMatter

Комплексная стратегия защиты

Уровень 1: Фундаментальные меры

Парольные политики нового поколения

Современные требования:

  • Длина: минимум 12-14 символов
  • Сложность: комбинация различных типов символов
  • Уникальность: запрет повторного использования
  • Entropy: высокая энтропия паролей
  • Blacklist: исключение компрометированных паролей

Криптографические методы защиты

Современные алгоритмы хеширования:

  • bcrypt: адаптивное хеширование с солью
  • scrypt: память-intensive алгоритм
  • Argon2: победитель Password Hashing Competition
  • PBKDF2: NIST-рекомендованный стандарт

Обязательные компоненты:

  • Соление (salting) всех хешей
  • Итеративное хеширование
  • Адаптивная сложность

Уровень 2: Многофакторная аутентификация

Типы факторов аутентификации

Что-то, что вы знаете (Knowledge):

  • Пароли и кодовые фразы
  • PIN-коды
  • Ответы на секретные вопросы

Что-то, что у вас есть (Possession):

  • SMS-коды и токены
  • Аппаратные ключи (FIDO2/WebAuthn)
  • Мобильные приложения-аутентификаторы

Что-то, чем вы являетесь (Inherence):

  • Биометрические данные
  • Поведенческие паттерны
  • Физические характеристики

Рекомендуемые реализации MFA

Приоритетный порядок:

  1. FIDO2/WebAuthn: наиболее безопасный стандарт
  2. TOTP приложения: Google Authenticator, Authy
  3. Push-уведомления: через корпоративные приложения
  4. SMS/голосовые вызовы: наименее предпочтительный вариант

Уровень 3: Мониторинг и обнаружение

Поведенческая аналитика

Индикаторы подозрительной активности:

  • Необычные времена входа в систему
  • Аномальные местоположения доступа
  • Нестандартные паттерны использования ресурсов
  • Множественные неудачные попытки аутентификации

Технологии обнаружения

User and Entity Behavior Analytics (UEBA):

  • Машинное обучение для выявления аномалий
  • Базовые профили пользовательского поведения
  • Корреляция событий безопасности
  • Адаптивные пороги срабатывания

Мониторинг привилегированных аккаунтов

Специальные меры:

  • Постоянный мониторинг активности администраторов
  • Принцип минимальных привилегий
  • Just-in-time доступ
  • Регулярная ротация паролей сервисных аккаунтов

Уровень 4: Проактивная защита

Continuous Security Validation

Регулярное тестирование:

  • Симуляция password cracking атак
  • Тестирование MFA-систем
  • Проверка систем обнаружения
  • Валидация incident response процедур

Threat Intelligence Integration

Использование данных об угрозах:

  • Мониторинг компрометированных учетных данных в даркнете
  • Обновление blacklist’ов паролей
  • Корреляция с индикаторами компрометации
  • Адаптация защитных мер к новым угрозам

Уровень 5: Реагирование на инциденты

Процедуры при компрометации

Немедленные действия:

  1. Изоляция: блокировка скомпрометированных аккаунтов
  2. Анализ: определение масштаба компрометации
  3. Containment: предотвращение латерального движения
  4. Eradication: удаление вредоносного присутствия
  5. Recovery: восстановление нормальных операций

Lessons Learned

Постинцидентный анализ:

  • Исследование причин компрометации
  • Обновление политик безопасности
  • Улучшение систем обнаружения
  • Обучение персонала

Организационные аспекты и инвестиции

ROI инвестиций в парольную безопасность

Соотношение затрат и потенциального ущерба:

  • Стоимость реализации MFA: тысячи долларов
  • Средняя стоимость инцидента с credential abuse: миллионы долларов
  • ROI: до 10:1 в первый же год

Культурные изменения

Формирование security-first мышления:

  • Обучение сотрудников важности парольной гигиены
  • Интеграция безопасности в рабочие процессы
  • Создание культуры ответственности за безопасность
  • Регулярное повышение осведомленности

Технологические тренды и будущее

Passwordless Authentication

Перспективные технологии:

  • FIDO2/WebAuthn: стандарт беспарольной аутентификации
  • Windows Hello: биометрическая аутентификация Microsoft
  • Apple Touch ID/Face ID: биометрия в корпоративной среде
  • Certificate-based authentication: PKI для аутентификации

Zero Trust Architecture

Принципы Zero Trust в контексте credential security:

  • Never trust, always verify (Никогда не доверяй, всегда проверяй)
  • Continuous authentication (постоянная аутентификация)
  • Context-aware access control (контекстно-зависимый контроль доступа)
  • Micro-segmentation (микросегментация)

AI и машинное обучение

Применение в парольной безопасности:

  • Обнаружение аномального поведения
  • Предиктивная аналитика угроз
  • Автоматизация реагирования на инциденты
  • Адаптивная аутентификация

Критическая необходимость действий

Blue Report 2025 представляет неопровержимые доказательства того, что парольная безопасность остается критически важной проблемой в современном киберландшафте. Удвоение успешности password cracking атак и 98% эффективность техники Valid Accounts демонстрируют острую необходимость кардинальных изменений в подходе к credential security.

  1. Базовая гигиена критически важна: современные угрозы не отменяют необходимости сильных фундаментальных мер
  2. Credential abuse – основной вектор атак: большинство серьезных инцидентов начинаются с компрометации учетных записей
  3. Традиционные подходы неэффективны: требуется комплексная стратегия, включающая технические, процедурные и культурные изменения
  4. Проактивность превосходит реактивность: непрерывная валидация защитных мер критически важна

Организации не могут больше откладывать инвестиции в credential security. Стоимость бездействия многократно превышает затраты на реализацию современных систем защиты. Время действовать – сейчас, пока статистика не стала еще более тревожной.

Эффективная защита от credential-based атак требует не только технологических решений, но и фундаментального пересмотра подходов к безопасности, создания культуры ответственности и постоянного совершенствования защитных мер. Только комплексный подход может обеспечить надежную защиту в эпоху эволюционирующих киберугроз.