What percentage of organizations experienced an identity-related breach in the past year according to Sophos?

71% of organizations worldwide suffered at least one identity-related security breach in the past year.

How do identity-based breaches differ from traditional network intrusions?

Rather than breaking through a firewall, attackers compromise credentials or tokens to gain legitimate-looking access, making detection slower and remediation more complex.

What are some recent real-world examples of breaches caused by compromised identities?

The Alert 360 breach exposed 2.5 million records, and the Zara breach affected nearly 200,000 customers through a third-party vendor, both stemming from compromised access credentials.

Why are non-human identities like API keys and AI agents becoming prime targets?

They are frequently mismanaged with overly broad permissions, rarely rotated, and inconsistently monitored, making them high-value targets that can persist unnoticed.

What makes API keys in code repositories especially risky?

An API key embedded in a repository can grant attackers access without proper lifecycle management, as these non-human identities often lack regular rotation and monitoring.

Sophos: 71% от компаниите са засегнати от пробиви, свързани с идентичността, през 2025 г.

Мащабен нов доклад на Sophos постави поразителна цифра върху проблем, за който специалистите по сигурност предупреждават от години: 71% от организациите в световен мащаб са претърпели поне един пробив в сигурността, свързан с идентичността, през последната година. Констатациите идват в момент, когато атаките, базирани на идентичност, вече не са нишова заплаха, а основният метод, чрез който нападателите получават достъп до корпоративни среди. Както за бизнеса, така и за физическите лица, данните са ясен сигнал, че хигиената на идентичността не може повече да бъде третирана като второстепенен проблем.

Какво разкриват данните на Sophos за честотата и обхвата на пробивите, свързани с идентичност

Мащабът на констатациите на Sophos е трудно да бъде пренебрегнат. Близо три от всеки четири организации, независимо от индустрията и географското местоположение, са преживели компрометиране на идентичност в рамките на една година. Това не е история за шепа високопоставени цели; тя отразява широка, системна уязвимост в начина, по който организациите управляват кой и какво има достъп до техните системи.

Пробивите, свързани с идентичност, се различават от традиционните мрежови прониквания по важен начин. Вместо да пробиват защитна стена, нападателите компрометират идентификационни данни или токени, които им осигуряват достъп, изглеждащ легитимен. Веднъж влезли, те могат да се придвижват странично, да повишават привилегии и да извличат данни, докато изглеждат, поне първоначално, като оторизиран потребител. Това прави откриването по-бавно, а отстраняването – по-сложно.

Реалните последици от провали в идентичността вече пълнят заглавията през 2025 г. Пробивът Alert 360, който изложи 2,5 милиона записа, и пробивът в Zara, засегнал близо 200 000 клиенти чрез доставчик трета страна, илюстрират как компрометираните идентификационни данни за достъп, независимо дали чрез директни атаки или излагане във веригата на доставки, могат да прераснат в мащабни загуби на данни.

Как нечовекоподобните идентичности и API ключовете се превръщат в основни цели

Една от по-далновидните констатации в доклада на Sophos е вниманието, което той обръща на нечовекоподобните идентичности. Тази категория включва API ключове, сервизни акаунти, скриптове за автоматизация и все по-често – AI агенти, на които се предоставя достъп до системи, за да изпълняват задачи автономно.

Докато организациите възприемат инструменти, задвижвани от AI, и автоматизират повече от своите работни потоци, те създават нарастващ инвентар от нечовекоподобни участници, които държат идентификационни данни и разрешения. Проблемът е, че тези идентичности често се управляват лошо: разрешенията са твърде широки, идентификационните данни рядко се сменят, а наблюдението за аномално поведение е в най-добрия случай непоследователно.

API ключ, вграден в хранилище на код, или AI агент, получил достъп за запис до продукционна база данни, представлява ценна цел за нападателите. За разлика от потребителските акаунти на хора, нечовекоподобните идентичности често нямат същото управление на жизнения цикъл, което означава, че могат да просъществуват дълго след като са необходими и да останат незабелязани при компрометиране. Докладът на Sophos идентифицира това лошо управление като един от основните вектори на атака, движещи стойността от 71%.

Защо човешката грешка остава най-слабото звено в сигурността на идентичността

Наред с нарастващите рискове от нечовекоподобни идентичности, констатациите на Sophos потвърждават, че човешката грешка продължава да подкопава дори добре ресурсно обезпечените програми за сигурност. Фишингът остава изключително ефективен. Повторното използване на идентификационни данни между лични и професионални акаунти създава пътища за нападателите да преминат от потребителски пробив към корпоративна среда. А свръхпривилегированите акаунти, създадени за удобство и никога правилно ограничени, дават на нападателите повече достъп, отколкото те изобщо трябва да могат да достигнат.

Човешкият елемент е очевиден и в скоростта, с която пробивите се разрастват след първоначалното получаване на достъп. Един компрометиран акаунт, използван от някого с широки административни права, може да изложи хиляди записи в рамките на часове. Здравеопазването се оказа особено уязвимо, както се вижда при инциденти като пробива в NYC Health, засегнал 1,8 милиона души, където лошото управление на идентичността на всяко ниво в сложна система може да има изключително големи последици.

Обученията и програмите за осведоменост помагат, но сами по себе си не са достатъчни. Данните на Sophos подсказват, че организациите се нуждаят от структурни контроли, които намаляват радиуса на поражението от човешки грешки, а не само от политики, които разчитат служителите да постъпват правилно всеки път.

Защита в дълбочина: Къде VPN и инструментите за поверителност се вписват в защитата на идентичността

Нито един инструмент не решава проблема със сигурността на идентичността – и точно това е смисълът. Концепцията за защита в дълбочина – наслагване на множество контроли за сигурност, така че провал в една да не означава автоматично пълно компрометиране – е рамката, за която констатациите на Sophos аргументират, дори имплицитно.

VPN мрежите играят специфична и важна роля в този стек. Чрез криптиране на мрежовия трафик и маскиране на метаданните за връзката, VPN намалява риска идентификационни данни или сесийни токени да бъдат прихванати при предаване, особено в ненадеждни мрежи. За отдалечени работници, които достъпват корпоративни ресурси от хотели, летища или споделени работни пространства, VPN е основен, но смислен контрол, който затваря иначе отворен прозорец.

Отвъд VPN, многослойната стратегия за защита на идентичността включва многофакторно удостоверяване за всички акаунти, принципа на минималните привилегии както за човекоподобни, така и за нечовекоподобни идентичности, редовен одит на активните идентификационни данни и API ключове, както и наблюдение за аномални модели на вход. Данните на Sophos подсилват, че това не са опционални екстри за големи предприятия; организации от всякакъв размер са под прицел.

Какво означава това за вас

Без значение дали управлявате ИТ за компания или сте просто физическо лице, което се опитва да защити акаунтите си, докладът на Sophos носи директно послание: идентичността е периметърът сега и трябва да бъде защитавана съответно.

Ето конкретни стъпки, които да предприемете:

Одитирайте идентификационните си данни. Идентифицирайте всички акаунти, използващи повторно използвани или слаби пароли, и ги актуализирайте с уникални, сложни алтернативи, съхранени в мениджър на пароли.
Активирайте многофакторно удостоверяване навсякъде. Приоритизирайте първо имейл, финансовите и служебните си акаунти.
Прегледайте разрешенията на приложенията и API достъпа. Ако управлявате софтуерни проекти или бизнес инструменти, одитирайте кои услуги държат активни идентификационни данни и отменете всичко, което вече не се използва.
Използвайте VPN в ненадеждни мрежи. Криптирането на връзката ви предотвратява прихващането на идентификационни данни, когато сте далеч от защитени среди.
Останете информирани за пробиви. Услуги, които ви уведомяват, когато имейлът ви се появи в известен набор от данни за пробив, ви дават ранно предупреждение да смените засегнатите идентификационни данни, преди нападателите да могат да ги използват.

Цифрата от 71% от Sophos не е причина за паника, но е причина за действие. Пробивите в сигурността, свързани с идентичността, през 2025 г. не са хипотетични рискове; те се случват на мнозинството от организациите точно сега. Изграждането на многослойна защита, съчетаваща силни практики за идентичност с мрежови защити, е практическият отговор, който данните изискват.