Sophos: 71% firm dotkniętych naruszeniami tożsamości w 2025 roku

Sophos: 71% firm dotkniętych naruszeniami tożsamości w 2025 roku

Nowy, ważny raport Sophos unaocznia skalę problemu, przed którym specjaliści ds. bezpieczeństwa ostrzegają od lat: 71% organizacji na całym świecie doświadczyło w ubiegłym roku co najmniej jednego naruszenia bezpieczeństwa związanego z tożsamością. Wyniki te pojawiają się w momencie, gdy ataki oparte na tożsamości przestały być niszowym zagrożeniem, a stały się dominującym sposobem, w jaki napastnicy zdobywają przyczółek w środowiskach korporacyjnych. Dla firm i osób prywatnych dane te stanowią wyraźny sygnał, że higiena tożsamości nie może być dłużej traktowana jako kwestia drugorzędna.

Co ujawniają dane Sophos na temat częstotliwości i zakresu naruszeń tożsamości

Sama skala ustaleń Sophos jest trudna do zignorowania. Niemal trzy na cztery organizacje, niezależnie od branży i lokalizacji geograficznej, doświadczyły w ciągu jednego roku naruszenia związanego z tożsamością. Nie jest to opowieść o garstce głośnych celów; odzwierciedla ona szeroką, systemową podatność w sposobie, w jaki organizacje zarządzają tym, kto i co ma dostęp do ich systemów.

Naruszenia związane z tożsamością różnią się od tradycyjnych włamań sieciowych w istotny sposób. Zamiast przełamywać zaporę sieciową, napastnicy przejmują dane uwierzytelniające lub tokeny, które dają im dostęp wyglądający na legalny. Po dostaniu się do środka mogą przemieszczać się lateralnie, eskalować uprawnienia i wykradać dane, pozornie będąc – przynajmniej na początku – autoryzowanym użytkownikiem. To sprawia, że wykrywanie jest wolniejsze, a usuwanie skutków bardziej złożone.

Rzeczywiste konsekwencje awarii tożsamości już zapełniły nagłówki w 2025 roku. Naruszenie Alert 360 ujawniające 2,5 miliona rekordów oraz naruszenie Zary dotykające prawie 200 000 klientów za pośrednictwem zewnętrznego dostawcy pokazują, jak przejęte dane dostępowe – czy to poprzez bezpośrednie ataki, czy ekspozycję w łańcuchu dostaw – mogą przerodzić się w ogromne wycieki danych.

Jak tożsamości nie-ludzkie i klucze API stają się głównymi celami

Jednym z bardziej wybiegających w przyszłość wniosków z raportu Sophos jest zwrócenie uwagi na tożsamości nie-ludzkie. Kategoria ta obejmuje klucze API, konta usług, skrypty automatyzacji oraz – coraz częściej – agentów AI, którym przyznaje się dostęp do systemów w celu autonomicznego wykonywania zadań.

W miarę jak organizacje wdrażają narzędzia oparte na sztucznej inteligencji i automatyzują kolejne procesy, tworzą rosnący zasób nie-ludzkich aktorów posiadających dane uwierzytelniające i uprawnienia. Problem polega na tym, że tożsamości te są często źle zarządzane: uprawnienia są nadmiernie szerokie, dane uwierzytelniające rzadko podlegają rotacji, a monitorowanie anomalnych zachowań jest w najlepszym razie niespójne.

Klucz API osadzony w repozytorium kodu lub agent AI z dostępem do zapisu w produkcyjnej bazie danych stanowi wartościowy cel dla atakujących. W przeciwieństwie do kont użytkowników-ludzi, tożsamości nie-ludzkie często nie mają takiego samego zarządzania cyklem życia, co oznacza, że mogą przetrwać długo po tym, jak przestają być potrzebne, i pozostać niezauważone po przejęciu. Raport Sophos wskazuje to nieprawidłowe zarządzanie jako jeden z głównych wektorów ataku stojących za liczbą 71%.

Dlaczego błąd ludzki pozostaje najsłabszym ogniwem bezpieczeństwa tożsamości

Obok rosnącego ryzyka tożsamości nie-ludzkich, ustalenia Sophos potwierdzają, że błąd ludzki nadal podważa nawet dobrze wyposażone programy bezpieczeństwa. Phishing pozostaje niezwykle skuteczny. Ponowne wykorzystywanie haseł między kontami osobistymi a zawodowymi tworzy ścieżki dla atakujących, by przeskoczyć z wycieku konsumenckiego do środowiska firmowego. A nadmiarowe konta, stworzone dla wygody i nigdy odpowiednio nieograniczone, dają napastnikom dostęp większy, niż kiedykolwiek powinni mieć możliwość osiągnięcia.

Czynnik ludzki jest również widoczny w tym, jak szybko naruszenia eskalują po uzyskaniu początkowego dostępu. Pojedyncze przejęte konto używane przez osobę z szerokimi uprawnieniami administracyjnymi może ujawnić tysiące rekordów w ciągu kilku godzin. Sektor opieki zdrowotnej okazał się szczególnie podatny, co widać w incydentach takich jak naruszenie NYC Health dotykające 1,8 miliona osób, gdzie nieprawidłowe zarządzanie tożsamością na dowolnym poziomie złożonego systemu może mieć nieproporcjonalnie duże konsekwencje.

Szkolenia i programy zwiększające świadomość pomagają, ale same w sobie nie są wystarczające. Dane Sophos sugerują, że organizacje potrzebują strukturalnych mechanizmów kontrolnych, które zmniejszają zasięg skutków ludzkich błędów, a nie tylko polityk opierających się na tym, że pracownicy za każdym razem postąpią właściwie.

Obrona w głąb: gdzie VPN i narzędzia prywatności pasują do ochrony tożsamości

Żadne pojedyncze narzędzie nie rozwiązuje problemu bezpieczeństwa tożsamości – i właśnie o to chodzi. Koncepcja obrony w głąb, nakładania wielu warstw zabezpieczeń tak, aby awaria jednego z nich nie oznaczała automatycznie pełnej kompromitacji, jest ramą, za którą opowiadają się – nawet pośrednio – ustalenia Sophos.

Sieci VPN odgrywają konkretną i ważną rolę w tym stosie. Szyfrując ruch sieciowy i maskując metadane połączeń, VPN zmniejsza ryzyko przechwycenia danych uwierzytelniających lub tokenów sesji podczas transmisji, zwłaszcza w sieciach niezaufanych. Dla pracowników zdalnych korzystających z zasobów firmowych z hoteli, lotnisk czy przestrzeni współdzielonych, VPN stanowi podstawową, ale znaczącą kontrolę, która zamyka skądinąd otwarte okno.

Poza VPN, warstwowa strategia ochrony tożsamości obejmuje uwierzytelnianie wieloskładnikowe na wszystkich kontach, zasadę najmniejszych uprawnień zarówno dla tożsamości ludzkich, jak i nie-ludzkich, regularne audyty aktywnych danych uwierzytelniających i kluczy API oraz monitorowanie anomalnych wzorców logowania. Dane Sophos potwierdzają, że nie są to opcjonalne dodatki tylko dla dużych przedsiębiorstw; celem ataków są organizacje każdej wielkości.

Co to oznacza dla Ciebie

Niezależnie od tego, czy zarządzasz IT w firmie, czy jesteś po prostu osobą starającą się chronić swoje konta, raport Sophos niesie bezpośredni przekaz: tożsamość jest teraz granicą i musi być odpowiednio broniona.

Oto konkretne kroki, jakie należy podjąć:

• Przeprowadź audyt swoich danych uwierzytelniających. Zidentyfikuj konta używające powtórzonych lub słabych haseł i zaktualizuj je, stosując unikalne, złożone alternatywy przechowywane w menedżerze haseł.
• Włącz uwierzytelnianie wieloskładnikowe wszędzie. W pierwszej kolejności potraktuj priorytetowo swoje konta e-mail, finansowe i służbowe.
• Przejrzyj uprawnienia aplikacji i dostęp API. Jeśli zarządzasz projektami programistycznymi lub narzędziami biznesowymi, przeprowadź audyt usług posiadających aktywne dane uwierzytelniające i cofnij wszystkie nieużywane.
• Używaj VPN w sieciach niezaufanych. Szyfrowanie połączenia zapobiega przechwyceniu danych uwierzytelniających, gdy jesteś poza bezpiecznym środowiskiem.
• Bądź na bieżąco informowany o wyciekach. Usługi, które powiadamiają Cię, gdy Twój adres e-mail pojawi się w znanym zbiorze danych z wycieku, dają Ci wczesne ostrzeżenie, aby zmienić zagrożone dane uwierzytelniające, zanim atakujący będą mogli je wykorzystać.

Liczba 71% podana przez Sophos nie jest powodem do paniki – jest powodem do działania. Naruszenia bezpieczeństwa związane z tożsamością w 2025 roku nie są hipotetycznym ryzykiem; przydarzają się obecnie większości organizacji. Budowanie warstwowej obrony, łączącej silne praktyki tożsamości z zabezpieczeniami na poziomie sieci, jest praktyczną odpowiedzią, jakiej wymagają dane.