Забытые или не отключенные учетные записи сотрудников часто остаются активными месяцами и могут использоваться злоумышленниками для проникновения в ИТ-инфраструктуру организации. Об этом сообщил Константин Ларин, руководитель департамента киберразведки компании «Бастион».
По словам эксперта, около 50% инцидентов с утечкой данных связаны с ошибками сотрудников или недостаточным контролем учетных записей. Одним из распространенных сценариев остается несвоевременное отключение аккаунтов после увольнения или перевода работников на другие должности. Часть разрешений может сохраняться в корпоративной почте, облачных сервисах, CRM и внутренних порталах, что позволяет атакующим завладеть конфиденциальной информацией.
«Для злоумышленников такие профили представляют особую ценность, поскольку они уже имеют действующие права в системах компании. Если они остаются активными, через них можно незаметно получить первоначальный доступ, закрепиться в инфраструктуре и в дальнейшем использовать это для проведения более масштабных инцидентов», — пояснил Ларин.
Дополнительную угрозу создают технические и сервисные аккаунты, созданные для выполнения отдельных задач и впоследствии выпавшие из поля зрения ИТ-подразделений. Данные таких учетных записей могут оказаться в открытом доступе в результате старых утечек, фишинговых атак или распространения информации на теневых площадках.
Компрометация подобных профилей способна привести к несанкционированному доступу к корпоративным системам, утечке конфиденциальной информации, нарушениям работы сервисов и прямым финансовым потерям бизнеса.
Для минимизации рисков эксперт рекомендует автоматизировать процесс отключения доступов при увольнении или изменении должностных обязанностей сотрудников. Также необходимо регулярно проводить аудит учетных записей, внедрять 2FA и MFA, контролировать привилегированные доступы и отслеживать аномальную активность, в том числе по неиспользуемым аккаунтам.
Ранее сообщалось, что средний ущерб от атак хакеров на бухгалтеров в России вырос до 10 млн руб.
