По данным команды BI.ZONE TDR, 39% киберинцидентов, зафиксированных с января по сентябрь 2025 года, связаны с использованием или компрометацией привилегированных учетных записей.
Эксперты BI.ZONE сопоставили выявленные инциденты с техниками MITRE ATT&CK, отражающими типичные действия злоумышленников при атаках с использованием привилегированного доступа.
В результате эксперты выявили самые частые техники, которые могут применяться в рамках одной атаки. Так, в 57% случаев злоумышленники получали доступ через действующие учетные данные. В таких атаках обычно используют украденные пароли, получают данные с помощью фишинга или становятся обладателями учетных данных в результате утечки либо подбора паролей.
На втором месте оказались манипуляции с учетными записями: создание скрытых администраторских прав, а также попытки закрепиться в системе и повысить уровень доступа. Подобные действия встречались в 40% эпизодах.
Еще 15% инцидентов были связаны с использованием легитимных учетных записей для удаленного подключения к инфраструктуре, например через SSH или другие сервисы. Получив доступ таким образом, злоумышленники могли свободно перемещаться по системе.
По оценкам специалистов BI.ZONE PAM, многие компании до сих пор не контролируют жизненный цикл привилегированных учетных записей. Более половины таких записей никогда не истекают автоматически и могут существовать без владельца годами. Кроме того, более половины организаций не отзывают привилегированные доступы сразу после увольнения сотрудников, что создает риск использования забытых аккаунтов.
Мониторинг и контроль привилегированных доступов практически невыполнимы без специализированных решений. Сегодня, как показывает анализ BI.ZONE, на одного IT-сотрудника приходится 3–7 привилегированных учетных записей — от локальных администраторов до облачных сервисов. При этом 30–40% всех таких учетных записей в разных системах имеют одинаковые или схожие пароли. Если злоумышленник получит доступ к одной учетной записи, он с большой вероятностью сможет подобрать пароль и заполучить доступ к IT-инфраструктуре.
