Kako se proboji temeljeni na identitetu razlikuju od tradicionalnih mrežnih upada?

Umjesto probijanja vatrozida, napadači kompromitiraju vjerodajnice ili tokene kako bi dobili privid legitimnog pristupa, što otežava otkrivanje i usložnjava sanaciju.

Koji su neki nedavni stvarni primjeri proboja uzrokovanih kompromitiranim identitetima?

Proboj u Alertu 360 razotkrio je 2,5 milijuna zapisa, a proboj u Zari pogodio je gotovo 200.000 kupaca preko dobavljača treće strane, oboje proizašlo iz kompromitiranih pristupnih vjerodajnica.

Zašto ne-ljudski identiteti poput API ključeva i AI agenata postaju glavne mete?

Često su loše upravljani, s preširokim dopuštenjima, rijetko se rotiraju i nedosljedno nadziru, što ih čini metama visoke vrijednosti koje mogu neprimjećeno opstati.

Što API ključeve u repozitorijima koda čini posebno rizičnima?

API ključ ugrađen u repozitorij može napadačima omogućiti pristup bez odgovarajućeg upravljanja životnim ciklusom, jer tim ne-ljudskim identitetima često nedostaje redovita rotacija i nadzor.

Sophos: 71% tvrtki pogođeno identitetskim probojima u 2025.

Novo veliko izvješće tvrtke Sophos iznijelo je upečatljivu brojku o problemu na koji sigurnosni stručnjaci upozoravaju već godinama: 71% organizacija diljem svijeta pretrpjelo je barem jedan sigurnosni proboj povezan s identitetom u posljednjih godinu dana. Nalazi stižu u trenutku kada napadi temeljeni na identitetu više nisu rubna prijetnja, već dominantan način na koji napadači stječu uporište unutar korporativnih okruženja. Za tvrtke i pojedince podjednako, ovi podaci jasan su signal da se higijena identiteta više ne može tretirati kao sporedna briga.

Što Sophosovi podaci otkrivaju o učestalosti i opsegu identitetskih proboja

Sam razmjer Sophosovih nalaza teško je zanemariti. Gotovo tri od četiri organizacije, u različitim industrijama i zemljopisnim područjima, doživjele su kompromitaciju identiteta u jednoj godini. Ovo nije priča o nekolicini visokoprofiliranih meta; odražava široku, sistemsku ranjivost u tome kako organizacije upravljaju time tko i što ima pristup njihovim sustavima.

Identitetski proboji razlikuju se od tradicionalnih mrežnih upada na važan način. Umjesto probijanja vatrozida, napadači kompromitiraju vjerodajnice ili tokene koji im daju privid legitimnog pristupa. Kad jednom uđu, mogu se lateralno kretati, eskalirati povlastice i izvlačiti podatke dok izgledaju, barem u početku, kao ovlašteni korisnici. To otežava otkrivanje i usložnjava sanaciju.

Stvarne posljedice identitetskih propusta već su punile naslovnice u 2025. godini. Proboj u Alertu 360 koji je razotkrio 2,5 milijuna zapisa i proboj u Zari koji je pogodio gotovo 200.000 kupaca preko dobavljača treće strane ilustriraju kako kompromitirane pristupne vjerodajnice, bilo izravnim napadima ili izloženošću u opskrbnom lancu, mogu eskalirati u goleme gubitke podataka.

Kako ne-ljudski identiteti i API ključevi postaju glavne mete

Jedan od naprednijih nalaza u Sophosovu izvješću jest pozornost koju posvećuje ne-ljudskim identitetima. Ova kategorija uključuje API ključeve, servisne račune, skripte za automatizaciju i, sve više, AI agente koji dobivaju pristup sustavima kako bi samostalno obavljali zadatke.

Kako organizacije usvajaju alate pokretane umjetnom inteligencijom i automatiziraju više svojih radnih procesa, stvaraju rastući inventar ne-ljudskih aktera koji posjeduju vjerodajnice i dopuštenja. Problem je u tome što se tim identitetima često loše upravlja: dopuštenja su preširoka, vjerodajnice se rijetko rotiraju, a nadzor nad neuobičajenim ponašanjem u najboljem je slučaju nedosljedan.

API ključ ugrađen u repozitorij koda ili AI agent koji je dobio dozvolu za pisanje u produkcijsku bazu podataka predstavlja metu visoke vrijednosti za napadače. Za razliku od ljudskih korisničkih računa, ne-ljudskim identitetima često nedostaje isto upravljanje životnim ciklusom, što znači da mogu opstati dugo nakon što su potrebni i proći nezapaženo kad su kompromitirani. Sophosovo izvješće identificira to loše upravljanje kao jedan od primarnih vektora napada koji stoje iza brojke od 71%.

Zašto ljudska pogreška ostaje najslabija karika u sigurnosti identiteta

Usporedno s porastom rizika od ne-ljudskih identiteta, Sophosovi nalazi potvrđuju da ljudska pogreška i dalje potkopava čak i dobro opremljene sigurnosne programe. Phishing ostaje iznimno učinkovit. Ponovna uporaba vjerodajnica između osobnih i profesionalnih računa stvara putove napadačima da se s potrošačkog proboja prebace u korporativno okruženje. A prekomjerno privilegirani računi, stvoreni radi praktičnosti i nikad pravilno ograničeni, daju napadačima više pristupa nego što bi ga ikada trebali moći dosegnuti.

Ljudski element vidljiv je i u brzini kojom proboji eskaliraju nakon što se stekne početni pristup. Jedan kompromitirani račun koji koristi netko sa širokim administrativnim pravima može u roku od nekoliko sati razotkriti tisuće zapisa. Zdravstvo se pokazalo posebno ranjivim, kao što se vidi u incidentima poput proboja u NYC Health koji je pogodio 1,8 milijuna osoba, gdje loše upravljanje identitetom na bilo kojoj razini složenog sustava može imati prevelike posljedice.

Programi obuke i podizanja svijesti pomažu, ali sami po sebi nisu dovoljni. Sophosovi podaci sugeriraju da organizacije trebaju strukturne kontrole koje smanjuju radijus utjecaja ljudske pogreške, a ne samo politike koje se oslanjaju na to da zaposlenici svaki put postupaju ispravno.

Obrana u dubinu: Gdje VPN-ovi i alati za privatnost ulaze u zaštitu identiteta

Nijedan alat ne rješava problem sigurnosti identiteta, i upravo je to poanta. Koncept obrane u dubinu, slojevitog postavljanja višestrukih sigurnosnih kontrola tako da kvar jedne ne znači automatski potpunu kompromitaciju, jest okvir za koji se Sophosovi nalazi zalažu, čak i implicitno.

VPN-ovi igraju specifičnu i važnu ulogu u tom skupu. Šifriranjem mrežnog prometa i maskiranjem metapodataka veze, VPN smanjuje rizik da vjerodajnice ili tokeni sesije budu presretnuti u prijenosu, osobito na nepouzdanim mrežama. Za udaljene radnike koji pristupaju korporativnim resursima iz hotela, zračnih luka ili dijeljenih radnih prostora, VPN je osnovna, ali značajna kontrola koja zatvara prozor koji bi inače bio otvoren.

Osim VPN-a, slojevita strategija zaštite identiteta uključuje višefaktorsku autentifikaciju na svim računima, načelo najmanje povlastice za ljudske i ne-ljudske identitete, redovitu reviziju aktivnih vjerodajnica i API ključeva te nadzor nad neuobičajenim obrascima prijava. Sophosovi podaci naglašavaju da to nisu neobvezni dodaci za velika poduzeća; ciljane su organizacije svih veličina.

Što to znači za vas

Bez obzira upravljate li IT-jem za tvrtku ili ste jednostavno pojedinac koji pokušava zaštititi svoje račune, Sophosovo izvješće nosi izravnu poruku: identitet je sada perimetar i treba ga braniti u skladu s tim.

Evo konkretnih koraka koje treba poduzeti:

Revizija vjerodajnica. Identificirajte sve račune koji koriste ponovno upotrijebljene ili slabe zaporke i ažurirajte ih jedinstvenim, složenim alternativama pohranjenim u upravitelju zaporki.
Omogućite višefaktorsku autentifikaciju svugdje. Prioritizirajte svoju e-poštu, financijske i poslovne račune prvo.
Pregledajte dopuštenja aplikacija i API pristup. Ako upravljate bilo kakvim softverskim projektima ili poslovnim alatima, revidirajte koje usluge drže aktivne vjerodajnice i opozovite sve što se više ne koristi.
Koristite VPN na nepouzdanim mrežama. Šifriranje vaše veze sprječava presretanje vjerodajnica kad ste izvan zaštićenih okruženja.
Budite informirani o probojima. Servisi koji vas obavještavaju kad se vaša e-pošta pojavi u poznatom skupu podataka o proboju daju vam rano upozorenje da rotirate pogođene vjerodajnice prije nego što ih napadači mogu iskoristiti.

Brojka od 71% tvrtke Sophos nije razlog za paniku, ali jest razlog za djelovanje. Sigurnosni proboji povezani s identitetom u 2025. nisu hipotetski rizici; događaju se većini organizacija upravo sada. Izgradnja slojevitih obrana, kombinirajući snažne prakse upravljanja identitetom sa zaštitom na razini mreže, praktičan je odgovor koji podaci zahtijevaju.