Багатофакторна автентифікація: захист входу, але не ваших дій

Кожна перевірка багатофакторної автентифікації (MFA) пройдена. Кожен вхід був законним. Панель відповідності правил була зеленою за всіма аспектами контролю ідентифікації. А зловмисник вже був всередині, рухаючись горизонтально мережею Active Directory з валідним токеном сесії, підвищуючи привілеї на шляху до контролера домену.

Це сценарій, що розгортається в підприємствах, які багато інвестували в аутентифікацію та вважали, що робота виконана. Облікові дані були справжніми. Багатофакторне завдання було виконано правильно. Система працювала точно так, як було розроблено. Вона автентифікувала користувача біля вхідних дверей і більше не дивилася. Злом не обійшов MFA. Він почався після успішного проходження MFA.

Автентифікація підтверджує ідентичність у певний момент часу. Потім вона стає “сліпою”. Усе, що відбувається далі – горизонтальне переміщення, підвищення привілеїв, тихе викрадення даних через Active Directory – виходить за межі того, що MFA була розроблена для виявлення.

Генеральний директор з інформаційних технологій виявив прогалину в робочому середовищі

Алекс Філіпс, генеральний директор з інформаційних технологій (CIO) компанії NOV, виявив цю прогалину під час операційного тестування. “Ми виявили прогалину в нашій здатності відкликати легітимні токени сесій ідентифікації на рівні ресурсів. Скидання пароля більше не є достатнім. Необхідно миттєво відкликати токени сесій, щоб зупинити горизонтальне переміщення”, – розповів він VentureBeat.

Те, що виявив Філіпс, не було неправильною конфігурацією. Це була архітектурна “сліпа зона”, яка існує майже в кожному стеку ідентифікації підприємства. Після успішної автентифікації користувача отриманий токен сесії передає цю довіру далі без повторної оцінки. Токен стає “bearer credential” – пред’явник отримує всі пов’язані з ним дозволи. Розслідування NOV підтвердило, що крадіжка токенів сесій ідентифікації є вектором найновіших атак, які вони відстежують, що спонукало команду посилити політики ідентифікації, забезпечити умовний доступ та створити механізм швидкого відкликання токенів з нуля.

Згідно зі звітом CrowdStrike Global Threat Report за 2026 рік, середній час переходу зловмисників до експлуатації становив 29 хвилин у 2025 році, а найшвидший зафіксований перехід – 27 секунд. У 82% виявлених випадків за 2025 рік взагалі не було розгорнуто шкідливого програмного забезпечення. Зловмисникам не потрібні експлойти, коли вони мають токени сесій.

Зловмисники припинили розробляти шкідливе ПЗ, оскільки викрадені ідентичності працюють краще

“Зловмисники зрозуміли, що один з найшвидших способів отримати доступ до середовища – це вкрасти легітимні облікові дані або використати соціальну інженерію”, – розповів Адам Меєрс, старший віце-президент з контрзловмисних операцій у CrowdStrike, VentureBeat. Економіка вражає: сучасні засоби виявлення на кінцевих точках підвищили вартість і ризик розгортання шкідливого програмного забезпечення. Натомість, викрадені облікові дані не викликають тривоги, не відповідають жодному сигнатурному шаблону та успадковують будь-який доступ, який мав справжній користувач.

Згідно зі звітом CrowdStrike Global Threat Report за 2025 рік, атаки з використанням голосового фішингу (vishing) вибухнули на 442% між першою та другою половиною 2024 року, тоді як спроби шахрайства з використанням діпфейків зросли більш ніж на 1300% у 2024 році, за даними звіту Pindrop’s 2025 Voice Intelligence & Security Report. Атаки зі зміною обличчя (face swap) зросли на 704% у 2023 році, згідно з даними, наведеними в тому ж звіті. Дослідження 2024 року, згадане у звіті CrowdStrike Global Threat Report за 2025 рік, виявило, що електронні листи для фішингу, створені за допомогою ШІ, мали показник кліків на 54%, що значно перевищує загальний масовий фішинг (12%).

Загроза полягає не в тому, що ШІ робить одного зловмисника небезпечнішим. Загроза полягає в тому, що ШІ надає кожному зловмиснику соціальну інженерію експертного рівня за майже нульовою граничною вартістю. Ланцюжок постачання облікових даних тепер функціонує в промислових масштабах.

Прогалина між IAM та SecOps – це місце, де сесії “вмирають”

За прогнозами Gartner від 2024 року, до 2026 року 30% підприємств більше не вважатимуть рішення для перевірки особи за обличчям та біометричної автентифікації надійними самі по собі через діпфейки, створені ШІ. Рімер посилався на власний звіт Ivanti State of Cybersecurity Report 2026, щоб кількісно оцінити цю прогалину. У звіті, який охопив понад 1200 фахівців з безпеки, виявлено, що розрив у готовності між загрозами та захистом зріс у середньому на 10 пунктів за один рік.

Кейн МакГладрі, старший член IEEE, сформулював організаційний провал з точки зору бізнесу. “Усе, що має відтінок кібербезпеки, зазвичай відносять до категорії ризиків кібербезпеки, що є повною фікцією. Вони повинні зосередитися на бізнес-ризиках, тому що якщо це не впливає на бізнес, наприклад, фінансові втрати, то ніхто не звертатиме на це уваги, не виділятиме відповідний бюджет і не вживатиме адекватних заходів контролю для запобігання цьому”, – сказав МакГладрі VentureBeat. Ця логіка пояснює, чому керування сесіями, управління життєвим циклом токенів та кореляція ідентифікацій у різних доменах потрапляють у прогалину між IAM (Identity and Access Management) та SecOps (Security Operations). Ніхто не відповідає за це, тому що ніхто не визначив це як бізнес-збиток.

“Ви можете бачити лише частини вторгнення: з боку ідентифікації, з боку хмари та з боку кінцевих точок. Вам потрібна видимість у всіх доменах, тому що в найкращому випадку у вас є близько 29 хвилин, щоб зупинити ці вторгнення”, – сказав Меєрс VentureBeat.

Майк Рімер, головний офіцер з інформаційної безпеки Ivanti, спостерігав за цим розривом протягом двох десятиліть, поки парадигми змінювалися. “Я не знаю тебе, поки не перевірю. Поки я не знаю, що це таке, і хто перебуває по той бік клавіатури, я не буду з ним спілкуватися, доки він не надасть мені можливість зрозуміти, хто він”, – сказав Рімер VentureBeat.

Це питання безпосередньо стосується сесій після автентифікації. Якщо зловмисники використовують ШІ для створення особи, яка проходить MFA, захисники потребують ШІ, який спостерігатиме за її діями після цього. Більш широка думка Рімера полягає в тому, що встановлення периметра безпеки на одному події входу запрошує кожного зловмисника, який проходить цей “ворота”, мати повний доступ до приміщення.

NOV закрила прогалину. Більшість підприємств навіть не почали.

“Це дає нам шлюз примусового застосування політики безпеки. Користувачі та зловмисники у пласкій мережі можуть використовувати викрадені токени сесій ідентифікації, але з нульовими довірами (zero-trust) шлюзи примушують умовний доступ та повторну перевірку довіри”, – розповів Філіпс VentureBeat.

NOV скоротила термін дії токенів, запровадила умовний доступ, що вимагає кількох умов, та забезпечила розділення обов’язків, щоб жодна окрема особа чи обліковий запис сервісу не могли скинути пароль, обійти багатофакторний доступ або скасувати умовний доступ. “Ми різко обмежили коло тих, хто може виконувати скидання паролів або скидання багатофакторної автентифікації. Жодна людина не повинна мати можливості обійти ці засоби контролю”, – сказав Філіпс VentureBeat. Вони розгорнули ШІ для аналізу SIEM-журналів, щоб виявляти інциденти майже в реальному часі, і залучили стартап спеціально для створення механізму швидкого відкликання токенів для своїх найкритичніших ресурсів.

Філіпс також виділив вразливість ланцюга довіри, яку більшість команд недооцінюють. “Оскільки з розвитком ШІ ви не можете довіряти голосу, відео чи навіть стилям письма, вам потрібно мати попередньо узгоджені секрети або можливість перевірити питання, яке знаєте лише ви і співрозмовник”, – сказав він VentureBeat. Якщо реагування на інциденти залежить від телефонного дзвінка або повідомлення в Slack для підтвердження скомпрометованого облікового запису, зловмисники, що використовують діпфейк-голос або текст, можуть скористатися цим каналом підтвердження.

Вісім речей, які потрібно зробити цього тижня

NOV довела, що ці прогалини можна закрити. Ось що слід пріоритезувати в першу чергу.

1. Отримайте звіт про термін дії токенів для кожного облікового запису з підвищеними привілеями, облікового запису сервісу та ключа API. Скоротіть термін дії інтерактивних сесійних токенів до годин, а не днів. Встановіть графік ротації облікових даних облікових записів сервісів. Ключі API без дати закінчення терміну дії – це відкриті запрошення, які ніколи не закриваються.

2. Проведіть тренування з відкликання сесій під тиском. Не скидання пароля. А “вбивство” сесії. Зафіксуйте час. Якщо ваша команда не може відкликати активну скомпрометовану сесію менш ніж за п’ять хвилин, це та прогалина, яку зловмисник, що рухається зі швидкістю 27 секунд, використає першою. NOV теж не могли цього зробити. Вони залучили спеціалізовані ресурси та створили цю можливість з нуля.

3. Картуйте вашу телеметрію з різних доменів “від кінця до кінця”. Один аналітик повинен мати можливість співвіднести аномалію ідентифікації у вашій службі каталогів із входом до хмарного площини керування та позначкою поведінки на кінцевій точці, не перемикаючись між консолями. Якщо цей робочий процес вимагає чотирьох інформаційних панелей і гілки в Slack, 29-хвилинне переміщення зловмисника обійде вас щоразу.

4. Розширте примусове виконання умовного доступу за межі вхідних дверей. Кожне підвищення привілеїв та кожен запит до чутливого ресурсу повинні викликати повторну перевірку. Ідентифікатор, який автентифікується з Х’юстона, а через 20 хвилин з’являється в Бухаресті, повинен викликати автоматичну додаткову автентифікацію або припинення сесії.

5. Замініть MFA на основі SMS та push-повідомлень на стійкі до фішингу FIDO2 та автентифікацію на основі passkey, де це можливо. Кожне push-сповіщення, яке зловмисник може багаторазово бомбардувати (fatigue-bomb), – це сесія, яку він може вкрасти. Це залишається найдешевшою модернізацією, яка закриває найширшу прогалину.

6. Проведіть аудит розділення обов’язків у робочих процесах ідентифікації. Якщо одна особа або один обліковий запис сервісу може скидати облікові дані, схвалювати доступ з підвищеними привілеями та обходити MFA, це єдина точка відмови, яку знайдуть зловмисники. NOV усунула таку конфігурацію.

7. Створіть протокол позаштатної верифікації інцидентів із попередньо узгодженими секретами. Якщо ваша команда все ще підтверджує скомпрометовані облікові записи телефоном або повідомленням у Slack, діпфейк-голос та текст також можуть скомпрометувати цей канал. Розробіть протокол до того, як він вам знадобиться.

8. Створіть окремий бюджетний рядок для управління на рівні ідентифікації. Управління сесіями, управління життєвим циклом токенів, безперервна перевірка ідентифікації та стандарти, такі як CAEP та Shared Signals Framework, потребують єдиного власника з єдиним бюджетом. Якщо такого власника не існує, зловмисники вже володіють цією прогалиною.

Команда NOV пройшла шлях від виявлення неможливості “вбити” скомпрометовану сесію до налагодження швидкого відкликання токенів в умовах реальної атаки. Вони скоротили термін дії токенів, усунули можливість скидання облікових даних однією особою, розгорнули аналіз журналів на основі ШІ та створили спеціалізовану систему відкликання для своїх найкритичніших ресурсів. Ця трансформація зайняла місяці, а не роки.

Прогалина, яку закрила NOV, існує майже в кожному підприємстві, яке розглядає автентифікацію як фінішну лінію, а не як стартовий постріл. Філіпс висловився чітко: “Скидання пароля більше не є достатнім. Необхідно миттєво відкликати токени сесій, щоб зупинити горизонтальне переміщення”. Його команда створила рішення. Питання для кожного іншого CISO полягає в тому, чи знайдуть вони цю прогалину на своїх умовах, чи зловмисник, що рухається зі швидкістю 27 секунд, знайде її за них.

Як захиститися (Порада ІТ-Блогу): Обов’язково впроваджуйте сучасні методи автентифікації, такі як FIDO2 або passkeys, де це можливо, замість менш безпечних SMS або push-повідомлень. Регулярно переглядайте та скорочуйте термін дії сесійних токенів, особливо для облікових записів з високими привілеями, щоб обмежити час, протягом якого зловмисники можуть використовувати викрадені дані.

За матеріалами: venturebeat.com