Jak se útoky založené na identitě liší od tradičních průniků do sítě?

Místo prolomení firewallu útočníci kompromitují přihlašovací údaje nebo tokeny, aby získali legitimně vypadající přístup, což zpomaluje detekci a komplikuje nápravu.

Jaké jsou některé nedávné reálné příklady narušení způsobených kompromitací identity?

Únik dat společnosti Alert 360 odhalil 2,5 milionu záznamů a narušení u Zary zasáhlo prostřednictvím dodavatele téměř 200 000 zákazníků; oba případy pramenily z kompromitovaných přístupových údajů.

Proč se ne-lidské identity, jako jsou API klíče a AI agenti, stávají hlavními cíli?

Jsou často špatně spravovány s příliš širokými oprávněními, zřídka obměňovány a nekonzistentně monitorovány, což z nich činí vysoce hodnotné cíle, které mohou přetrvávat bez povšimnutí.

Proč jsou API klíče v repozitářích kódu obzvláště rizikové?

API klíč vložený v repozitáři může útočníkům poskytnout přístup bez řádné správy životního cyklu, protože tyto ne-lidské identity často postrádají pravidelnou obměnu a monitorování.

Sophos: 71 % firem zasaženo narušením identity v roce 2025

Zásadní nová zpráva společnosti Sophos přinesla výrazné číslo k problému, na který odborníci na bezpečnost upozorňují již léta: 71 % organizací po celém světě utrpělo v posledním roce alespoň jedno narušení bezpečnosti související s identitou. Zjištění přichází v době, kdy útoky založené na identitě už nejsou okrajovou hrozbou, ale dominantní metodou, jak útočníci získávají oporu v podnikovém prostředí. Pro firmy i jednotlivce je to jasný signál, že hygienu identity nelze nadále považovat za vedlejší záležitost.

Co data Sophos odhalují o četnosti a rozsahu narušení identity

Samotný rozsah zjištění Sophos je těžké přehlédnout. Téměř tři ze čtyř organizací napříč odvětvími a regiony zažily v jediném roce kompromitaci související s identitou. Nejde o příběh několika vysoce profilovaných cílů; odráží to rozsáhlou, systémovou zranitelnost ve způsobu, jakým organizace spravují, kdo a co má přístup k jejich systémům.

Narušení související s identitou se od tradičních průniků do sítě liší důležitým způsobem. Namísto prolomení firewallu útočníci kompromitují přihlašovací údaje nebo tokeny, které jim poskytují legitimně vypadající přístup. Jakmile jsou uvnitř, mohou se pohybovat laterálně, eskalovat oprávnění a exfiltrovat data, zatímco se alespoň zpočátku jeví jako autorizovaný uživatel. To zpomaluje detekci a komplikuje nápravu.

Reálné důsledky selhání identity plní titulky novin i v roce 2025. Únik dat společnosti Alert 360, který odhalil 2,5 milionu záznamů, a narušení u Zary, které prostřednictvím třetí strany zasáhlo téměř 200 000 zákazníků ilustrují, jak kompromitované přístupové údaje – ať už přímými útoky, nebo expozicí v dodavatelském řetězci – mohou vést k masivním ztrátám dat.

Jak se ne-lidské identity a API klíče stávají hlavními cíli

Jedním z prozíravějších zjištění zprávy Sophos je pozornost, kterou věnuje ne-lidským identitám. Do této kategorie patří API klíče, servisní účty, automatizační skripty a stále častěji i AI agenti, kteří získávají přístup k systémům, aby mohli samostatně vykonávat úkoly.

S tím, jak organizace zavádějí nástroje poháněné umělou inteligencí a automatizují více svých pracovních postupů, vytvářejí rostoucí inventář ne-lidských aktérů, kteří drží přihlašovací údaje a oprávnění. Problém je v tom, že tyto identity jsou často špatně spravovány: oprávnění jsou příliš široká, přihlašovací údaje se zřídka obměňují a monitorování anomálního chování je přinejlepším nekonzistentní.

API klíč vložený do repozitáře kódu nebo AI agent s oprávněním k zápisu do produkční databáze představují pro útočníky vysoce hodnotný cíl. Na rozdíl od lidských uživatelských účtů ne-lidské identity často postrádají správu životního cyklu, což znamená, že mohou přetrvávat dlouho poté, co už nejsou potřeba, a při kompromitaci zůstávají nepovšimnuty. Zpráva Sophos označuje tuto špatnou správu za jeden z hlavních vektorů útoků, který stojí za zmíněnými 71 %.

Proč lidská chyba zůstává nejslabším článkem v zabezpečení identity

Vedle nárůstu rizik spojených s ne-lidskými identitami zjištění Sophos potvrzují, že lidská chyba nadále podkopává i dobře vybavené bezpečnostní programy. Phishing zůstává pozoruhodně účinný. Opakované používání přihlašovacích údajů napříč osobními a pracovními účty vytváří cesty pro útočníky, jak se z narušení spotřebitelského účtu dostat do podnikového prostředí. A příliš privilegované účty, vytvořené pro pohodlí a nikdy řádně neomezené, poskytují útočníkům větší přístup, než by kdy měli mít.

Lidský faktor je patrný také v tom, jak rychle narušení narůstá po získání prvotního přístupu. Jediný kompromitovaný účet používaný někým s rozsáhlými administrátorskými právy může během několika hodin odhalit tisíce záznamů. Zdravotnictví se ukázalo jako obzvláště zranitelné, jak je vidět na incidentech, jako je narušení NYC Health, které zasáhlo 1,8 milionu jednotlivců, kde špatná správa identity na jakékoli úrovni složitého systému může mít mimořádné důsledky.

Školicí a osvětové programy pomáhají, ale samy o sobě nestačí. Data Sophos naznačují, že organizace potřebují strukturální kontroly, které omezí dosah lidských chyb, nikoli jen politiky spoléhající na to, že zaměstnanci udělají správnou věc pokaždé.

Obrana do hloubky: Jak VPN a nástroje na ochranu soukromí zapadají do ochrany identity

Žádný jednotlivý nástroj nevyřeší problém zabezpečení identity, a právě o to jde. Koncepce obrany do hloubky, vrstvení více bezpečnostních opatření tak, aby selhání jednoho automaticky neznamenalo úplné kompromitování, je rámcem, pro který zjištění Sophos argumentují, byť implicitně.

VPN hrají v tomto balíku specifickou a důležitou roli. Šifrováním síťového provozu a maskováním metadat připojení VPN snižuje riziko, že budou přihlašovací údaje nebo tokeny relace zachyceny při přenosu, zejména v nedůvěryhodných sítích. Pro vzdálené pracovníky přistupující k firemním zdrojům z hotelů, letišť nebo sdílených pracovních prostor je VPN základní, ale smysluplnou kontrolou, která uzavírá jinak otevřené okno.

Kromě VPN zahrnuje vrstvená strategie ochrany identity vícefaktorové ověřování na všech účtech, princip nejnižších oprávnění pro lidské i ne-lidské identity, pravidelné audity aktivních přihlašovacích údajů a API klíčů a monitorování anomálních vzorců přihlašování. Data Sophos potvrzují, že se nejedná o volitelné doplňky pro velké podniky; cílem se stávají organizace všech velikostí.

Co to znamená pro vás

Ať už spravujete IT pro firmu, nebo jste jen jednotlivec snažící se chránit své účty, zpráva Sophos přináší přímou zprávu: identita je nyní perimetrem a je třeba ji podle toho bránit.

Zde jsou konkrétní kroky, které byste měli podniknout:

Auditujte své přihlašovací údaje. Identifikujte všechny účty používající znovupoužitá nebo slabá hesla a aktualizujte je jedinečnými, komplexními alternativami uloženými ve správci hesel.
Všude zapněte vícefaktorové ověřování. Upřednostněte nejprve své e-mailové, finanční a pracovní účty.
Zkontrolujte oprávnění aplikací a přístupy k API. Pokud spravujete nějaké softwarové projekty nebo firemní nástroje, proveďte audit, které služby drží aktivní přihlašovací údaje, a zrušte vše, co se již nepoužívá.
Používejte VPN v nedůvěryhodných sítích. Šifrování vašeho připojení zabraňuje zachycení přihlašovacích údajů, když jste mimo zabezpečená prostředí.
Zůstaňte informováni o únicích. Služby, které vás upozorní, když se váš e-mail objeví v databázi známých úniků, vám dávají včasné varování, abyste mohli postižené přihlašovací údaje obměnit dříve, než je útočníci zneužijí.

Číslo 71 % od Sophos není důvodem k panice, ale je důvodem k akci. Narušení bezpečnosti související s identitou v roce 2025 nejsou hypotetickými riziky; dějí se právě teď většině organizací. Budování vrstvené obrany, kombinace silných postupů pro správu identit s ochranou na úrovni sítě, je praktickou odpovědí, kterou data vyžadují.

FAQ (přeložte každou otázku a odpověď):