Рост атак на корпоративные SSO-системы с использованием украденных учетных данных

В последнее время специалисты по кибербезопасности фиксируют значительный рост атак на корпоративные системы единого входа (SSO), осуществляемых с помощью методов перебора и использования украденных паролей. Вместо традиционного поиска уязвимостей в программном обеспечении злоумышленники все чаще прибегают к прямому входу в системы, используя данные, похищенные с зараженных устройств сотрудников.

Основным инструментом в этой новой волне атак стали вредоносные программы семейства инфостилеров. Эти вредоносные программы незаметно собирают учетные данные на зараженных рабочих станциях, после чего передают их злоумышленникам, которые используют их для масштабных атак на корпоративные SSO-шлюзы.

Механика атак и роль инфостилеров

Инфостилеры — это тип вредоносного ПО, предназначенный для скрытого сбора конфиденциальной информации, в том числе логинов и паролей, с устройств пользователей. После заражения рабочей станции сотрудника, инфостилер автоматически извлекает сохраненные или вводимые учетные данные и передает их злоумышленникам.

Получив доступ к большому количеству учетных записей, хакеры запускают масштабные атаки перебора (brute-force) на корпоративные системы единого входа. SSO-шлюзы, обеспечивающие централизованный доступ к корпоративным ресурсам, становятся основной целью, так как успешный вход через SSO открывает доступ к множеству внутренних сервисов и данных.

Почему это важно для организаций с внешней поверхностью атаки

Для компаний, управляющих сложными инфраструктурами с многочисленными внешними точками доступа, данный тренд представляет особую опасность. Традиционные методы защиты, ориентированные на поиск и устранение уязвимостей в программном обеспечении, могут оказаться недостаточными, если злоумышленники обходят их, используя легитимные учетные данные.

Кроме того, атаки с использованием украденных паролей сложно обнаружить, поскольку они выглядят как обычные попытки входа сотрудников. Это усложняет задачу систем мониторинга и реагирования на инциденты.

Практические рекомендации для команд безопасности

• Усиление контроля доступа. Внедрение многофакторной аутентификации (MFA) значительно снижает риск успешного входа с использованием украденных паролей.

• Мониторинг аномалий входа. Настройка систем обнаружения аномалий для выявления необычных попыток входа, таких как входы из новых географических регионов или с новых устройств.

• Обучение сотрудников. Регулярное проведение тренингов по кибергигиене поможет снизить вероятность заражения рабочих станций инфостилерами.

• Использование решений для управления внешней поверхностью атаки (EASM). Такие платформы позволяют выявлять и контролировать все внешние точки доступа, минимизируя риск компрометации.

• Регулярный аудит учетных записей. Проверка и удаление неиспользуемых или устаревших учетных записей снижает количество потенциальных точек входа.

• Обновление и защита конечных устройств. Использование современных антивирусных решений и своевременное обновление программного обеспечения помогает предотвратить заражение инфостилерами.

В условиях роста атак с использованием украденных учетных данных организациям необходимо пересмотреть подходы к защите корпоративных систем, уделяя особое внимание контролю доступа и мониторингу аномалий. Только комплексный подход позволит эффективно противостоять новым угрозам и обеспечить безопасность корпоративной инфраструктуры.