Sophos: 71% компаний пострадали от утечек идентификационных данных в 2025 году

Sophos: 71% компаний пострадали от утечек идентификационных данных в 2025 году

Крупный новый отчет Sophos приводит поразительную цифру по проблеме, о которой специалисты по безопасности предупреждали годами: 71% организаций во всем мире за последний год пострадали как минимум от одной утечки идентификационных данных. Эти данные появились в момент, когда атаки на основе идентификационных данных перестали быть нишевой угрозой и превратились в основной способ, с помощью которого злоумышленники закрепляются внутри корпоративных сред. Как для бизнеса, так и для частных лиц цифры служат явным сигналом: гигиену идентификационных данных больше нельзя считать второстепенной задачей.

Что данные Sophos говорят о частоте и масштабах утечек идентификационных данных

Огромный масштаб выводов Sophos трудно игнорировать. Почти три из четырех организаций, независимо от отрасли и географического положения, столкнулись с компрометацией идентификационных данных в течение одного года. Это не история о нескольких громких целях; это отражение широкой, системной уязвимости в том, как организации управляют тем, кто и что имеет доступ к их системам.

Утечки, связанные с идентификационными данными, принципиально отличаются от традиционных вторжений в сеть. Вместо взлома фаервола злоумышленники компрометируют учетные данные или токены, которые дают им доступ, выглядящий легитимным. Оказавшись внутри, они могут перемещаться по сети, повышать привилегии и выводить данные, при этом сначала выглядя авторизованными пользователями. Это замедляет обнаружение и усложняет устранение последствий.

Реальные последствия сбоев в управлении идентификационными данными уже заполнили заголовки в 2025 году. Утечка Alert 360, раскрывшая 2,5 миллиона записей, и утечка Zara, затронувшая почти 200 000 клиентов через стороннего поставщика, наглядно показывают, как скомпрометированные учетные данные доступа — будь то результат прямой атаки или уязвимости в цепочке поставок — могут привести к каскадным потерям огромных объемов данных.

Как нечеловеческие идентификаторы и API-ключи становятся главными целями

Один из наиболее перспективных выводов отчета Sophos — внимание к нечеловеческим идентификаторам. В эту категорию попадают API-ключи, служебные учетные записи, скрипты автоматизации и, всё чаще, ИИ-агенты, которые получают доступ к системам для автономного выполнения задач.

По мере внедрения инструментов на базе ИИ и автоматизации рабочих процессов организации создают растущий инвентарь нечеловеческих сущностей, обладающих учетными данными и разрешениями. Проблема в том, что этими идентификаторами часто управляют плохо: разрешения избыточно широки, учетные данные редко обновляются, а мониторинг аномального поведения в лучшем случае непоследователен.

API-ключ, встроенный в репозиторий кода, или ИИ-агент, получивший доступ на запись к производственной базе данных, представляют собой высокоценную цель для злоумышленников. В отличие от учетных записей людей, нечеловеческие идентификаторы часто не имеют надлежащего управления жизненным циклом: они могут сохраняться долгое время после того, как перестали быть нужны, и оставаться незамеченными при компрометации. Отчет Sophos определяет подобное плохое управление как один из основных векторов атак, обусловивших показатель в 71%.

Почему человеческий фактор остается самым слабым звеном в безопасности идентификационных данных

Наряду с ростом рисков, связанных с нечеловеческими идентификаторами, данные Sophos подтверждают, что человеческие ошибки продолжают подрывать даже хорошо обеспеченные ресурсами программы безопасности. Фишинг остается удивительно эффективным. Повторное использование учетных данных в личных и профессиональных аккаунтах создает пути для злоумышленников переключиться с утечки потребительских данных на корпоративную среду. А избыточно привилегированные учетные записи, созданные ради удобства и никогда должным образом не ограниченные, дают злоумышленникам больше доступа, чем они вообще должны иметь возможность получить.

Человеческий фактор также проявляется в том, насколько быстро масштабируются утечки после получения первоначального доступа. Одна скомпрометированная учетная запись с широкими административными правами может раскрыть тысячи записей за несколько часов. Здравоохранение оказалось особенно уязвимым, как видно на примере инцидентов, подобных утечке NYC Health, затронувшей 1,8 миллиона человек, где ошибки в управлении идентификационными данными на любом уровне сложной системы приводят к непропорционально серьезным последствиям.

Программы обучения и повышения осведомленности помогают, но сами по себе недостаточны. Данные Sophos указывают на то, что организациям нужны структурные меры контроля, уменьшающие радиус поражения от человеческих ошибок, а не только политики, полагающиеся на то, что сотрудники каждый раз будут поступать правильно.

Эшелонированная защита: как VPN и инструменты приватности вписываются в защиту идентификационных данных

Ни один отдельный инструмент не решает проблему безопасности идентификационных данных, и в этом как раз и заключается суть. Концепция эшелонированной защиты — наслоение нескольких средств контроля безопасности так, чтобы отказ одного не приводил автоматически к полной компрометации, — это и есть та модель, которую, пусть и неявно, отстаивает отчет Sophos.

VPN играют конкретную и важную роль в этом стеке. Шифруя сетевой трафик и маскируя метаданные соединения, VPN снижает риск перехвата учетных данных или токенов сессии при передаче, особенно в ненадежных сетях. Для удаленных сотрудников, получающих доступ к корпоративным ресурсам из отелей, аэропортов или коворкингов, VPN представляет собой базовый, но значимый контроль, который закрывает в противном случае открытое окно.

Помимо VPN, многоуровневая стратегия защиты идентификационных данных включает многофакторную аутентификацию на всех аккаунтах, принцип минимальных привилегий как для человеческих, так и для нечеловеческих идентификаторов, регулярный аудит активных учетных данных и API-ключей, а также мониторинг аномальных шаблонов входа. Данные Sophos подчеркивают, что это не дополнительные опции для крупных предприятий; атакам подвергаются организации любого размера.

Что это значит для вас

Управляете ли вы ИТ-инфраструктурой компании или просто пытаетесь защитить свои аккаунты, отчет Sophos несет прямое послание: идентификационные данные теперь стали периметром, и защищать их нужно соответственно.

Вот конкретные шаги, которые можно предпринять:

• Проведите аудит своих учетных данных. Выявите аккаунты с повторно используемыми или слабыми паролями и замените их уникальными сложными альтернативами, хранящимися в менеджере паролей.
• Включите многофакторную аутентификацию везде. В первую очередь уделите внимание учетным записям электронной почты, финансовым и рабочим аккаунтам.
• Проверьте разрешения приложений и доступ к API. Если вы управляете программными проектами или бизнес-инструментами, проверьте, какие сервисы имеют активные учетные данные, и отзовите всё, что больше не используется.
• Используйте VPN в ненадежных сетях. Шифрование соединения предотвращает перехват учетных данных, когда вы находитесь вне защищенных сред.
• Будьте в курсе утечек данных. Сервисы, уведомляющие вас, когда ваша электронная почта появляется в известных наборах данных об утечках, дают вам раннее предупреждение, чтобы сменить скомпрометированные учетные данные до того, как ими воспользуются злоумышленники.

Показатель в 71% от Sophos — не повод для паники, но повод для действий. Утечки безопасности, связанные с идентификационными данными, в 2025 году — это не гипотетические риски, они прямо сейчас происходят с большинством организаций. Построение многоуровневой защиты, сочетающей строгие практики управления идентификационными данными с защитой на уровне сети, — это тот практический ответ, которого требуют данные.