Облачная инфраструктура всё чаще становится главной целью киберпреступников, и причина этого во многом банальна. В большинстве крупных инцидентов, связанных с кражей учётных данных, обнаруживается один и тот же системный паттерн — отсутствие многофакторной аутентификации. Именно эта уязвимость сегодня связывает между собой подавляющее число атак на облачные среды, от компрометации корпоративных аккаунтов до масштабных утечек данных.
Почему кража облачных учётных данных стала массовой проблемой
Облако давно перестало быть вспомогательной технологией. Для многих компаний это основа всей ИТ-инфраструктуры: почта, файловые хранилища, CRM, системы аналитики, инструменты разработчиков. Один скомпрометированный аккаунт нередко открывает доступ сразу к нескольким критически важным сервисам.
Злоумышленники прекрасно это понимают. Вместо сложных атак на инфраструктуру они всё чаще делают ставку на перехват логинов и паролей. Это быстрее, дешевле и эффективнее, особенно если организация не использует дополнительные уровни защиты.
Основные источники утечек остаются прежними:
фишинговые письма, замаскированные под уведомления от облачных сервисов;
вредоносные расширения браузеров и трояны, крадущие сохранённые пароли;
повторное использование паролей, утёкших из сторонних сервисов;
компрометация рабочих устройств сотрудников.
Если после кражи пароля злоумышленнику не нужно подтверждать вход вторым фактором, доступ к облаку он получает практически мгновенно.
Отсутствие MFA как ключевой фактор успешных атак
Многофакторная аутентификация давно считается базовым стандартом безопасности, но на практике внедрена далеко не везде. Во многих компаниях MFA либо отключена полностью, либо применяется выборочно. Например, только для администраторов.
Это создаёт иллюзию защищённости. На самом деле атакующему достаточно захватить учётную запись обычного пользователя, чтобы начать движение внутри облачной среды.
Через такие аккаунты часто удаётся:
получить доступ к внутренним документам и конфиденциальной информации;
создать новые токены и ключи доступа;
повысить привилегии за счёт ошибок в настройках ролей;
закрепиться в системе надолго, оставаясь незаметным.
Эксперты отмечают, что в большинстве расследованных инцидентов MFA либо отсутствовала вовсе, либо была настроена неправильно. Например, не распространялась на вход через API или сторонние приложения.
Чем опасна компрометация облачных аккаунтов
В отличие от классических атак на серверы, взлом облачной учётной записи редко выглядит как очевидный инцидент. Злоумышленник действует под видом легитимного пользователя, используя штатные инструменты и интерфейсы.
Это позволяет ему:
незаметно выгружать данные;
изменять настройки безопасности;
создавать скрытые резервные аккаунты;
подключать сторонние сервисы для дальнейшей эксплуатации.
Особую угрозу представляют сервисные аккаунты и ключи доступа, которые часто создаются без MFA и используются в автоматизированных процессах. Их компрометация может остаться незамеченной месяцами.
Почему компании продолжают игнорировать MFA
Несмотря на очевидные риски, многие организации откладывают внедрение многофакторной аутентификации. Причины повторяются из года в год:
опасения за удобство пользователей;
сложность внедрения в устаревших системах;
недостаточная осведомлённость руководства о реальных угрозах;
ложное чувство безопасности из-за других защитных мер.
Однако практика показывает, что ни сетевые экраны, ни системы обнаружения атак не компенсируют отсутствие MFA. Если злоумышленник входит под валидными учётными данными, большинство защитных механизмов просто не срабатывают.
Что рекомендуют специалисты по облачной безопасности
Эксперты сходятся во мнении, что многофакторная аутентификация должна быть включена по умолчанию для всех пользователей и сервисов без исключений. Но на этом меры не заканчиваются.
В числе ключевых рекомендаций:
обязательное использование MFA для всех облачных аккаунтов, включая сервисные;
регулярный аудит прав доступа и ролей;
мониторинг аномальной активности входа;
отказ от постоянных ключей доступа в пользу временных токенов;
обучение сотрудников распознаванию фишинга.
Также подчёркивается важность принципа минимальных привилегий. Даже если учётная запись будет скомпрометирована, ущерб можно существенно ограничить.
Облачная безопасность начинается с базовых шагов
Рост числа атак на облачные среды наглядно показывает, что проблема заключается не в отсутствии сложных технологий защиты, а в игнорировании элементарных мер. Кража учётных данных остаётся самым простым и надёжным способом проникновения в облако, а отсутствие MFA главным союзником злоумышленников.
Пока компании продолжают рассматривать многофакторную аутентификацию как необязательное дополнение, а не как стандарт, масштаб подобных инцидентов будет только расти.
Источник: DarkReading