Розрив між загрозами програм-вимагачів та засобами захисту, покликаними їм протидіяти, поглиблюється, а не зменшується. Звіт Ivanti «Стан кібербезпеки 2026» виявив, що розрив у готовності зростав у середньому на 10 пунктів щорічно за всіма категоріями загроз, що відстежуються компанією. Програми-вимагачі продемонстрували найбільший розрив: 63% фахівців з безпеки вважають їх високо або критично небезпечною загрозою, проте лише 30% стверджують, що вони «дуже підготовлені» до захисту від них. Це розрив у 33 пункти, порівняно з 29 пунктами рік тому.
Звіт CyberArk «Ландшафт безпеки ідентичностей 2025» надає конкретні цифри: на кожну людину в організаціях у всьому світі припадає 82 машинних ідентичності. Сорок два відсотки цих машинних ідентичностей мають привілейований або чутливий доступ.
Найавторитетніша основа для плану дій має той самий сліпий кут
Рекомендації Gartner щодо підготовки до боротьби з програмами-вимагачами, зокрема дослідження «Як підготуватися до атак програм-вимагачів» від квітня 2024 року, яке команди корпоративної безпеки використовують під час розробки процедур реагування на інциденти, чітко вказують на необхідність скидання «облікових даних користувачів/хостів, що постраждали», на етапі стримування. Супутній інструментарій «План дій щодо програм-вимагачів» проводить команди через чотири фази: стримування, аналіз, усунення наслідків та відновлення. Крок скидання облікових даних інструктує команди переконатися, що всі облікові записи користувачів та пристроїв, що постраждали, скинуті.
Облікові записи служб відсутні. Так само як і ключі API, токени та сертифікати. Найбільш широко використовувана основа плану дій у корпоративній безпеці зупиняється на облікових даних людини та пристрою. Організації, які її дотримуються, успадковують цей сліпий кут, не усвідомлюючи цього.
Це ж дослідження визначає проблему, не пов’язуючи її з рішенням. Gartner попереджає, що «недоліки в управлінні ідентифікацією та доступом (IAM)» залишаються основним відправним пунктом для атак програм-вимагачів, і що раніше скомпрометовані облікові дані використовуються для доступу через посередників початкового доступу та зливи даних з темної мережі. У розділі відновлення рекомендації є чіткими: оновлення або видалення скомпрометованих облікових даних є важливим, оскільки без цього кроку зловмисник відновить доступ. Машинні ідентичності — це IAM. Скомпрометовані облікові записи служб — це облікові дані. Але процедури стримування плану дій не охоплюють жодного з них.
Gartner окреслює нагальність у термінах, які мало хто інший може зрівняти: «Програми-вимагачі відрізняються від будь-якого іншого інциденту безпеки, — йдеться в дослідженні. — Вони ставлять уражені організації перед годинником із зворотним відліком. Будь-яка затримка в процесі прийняття рішень створює додатковий ризик». Ті ж рекомендації наголошують, що витрати на відновлення можуть у 10 разів перевищувати саму суму викупу, і що програми-вимагачі розгортаються протягом одного дня з моменту початкового доступу більш ніж у 50% випадків. Годинник вже працює, але процедури стримування не відповідають нагальності — особливо коли найшвидше зростаючий клас облікових даних залишається невирішеним.
Дефіцит готовності сягає глибше, ніж будь-яке окреме опитування
Звіт Ivanti відстежує розрив у готовності за кожною основною категорією загроз: програми-вимагачі, фішинг, вразливості програмного забезпечення, вразливості, пов’язані з API, атаки на ланцюжки постачання та навіть слабке шифрування. Кожна з них зростала рік від року.
«Хоча захисники оптимістично ставляться до обіцянок ШІ в кібербезпеці, висновки Ivanti також показують, що компанії відстають у готовності захищатися від різноманітних загроз», — сказав Деніел Спенсер, директор з безпеки Ivanti. «Це те, що я називаю «Дефіцитом готовності до кібербезпеки» — постійний, зростаючий з року в рік дисбаланс у здатності організації захищати свої дані, людей та мережі від мінливого ландшафту загроз».
Звіт CrowdStrike «Стан програм-вимагачів 2025» деталізує, як виглядає цей дефіцит за галузями. Серед виробників, які оцінили себе як «дуже добре підготовлених», лише 12% відновилися протягом 24 годин, а 40% зазнали значних операційних збоїв. Державний сектор показав гірші результати: 12% відновлення, попри 60% впевненості. У всіх галузях лише 38% організацій, які зазнали атаки програм-вимагачів, усунули конкретну проблему, яка дозволила зловмисникам проникнути. Решта інвестували в загальні покращення безпеки, не закривши фактичний пункт входу.
Згідно зі звітом за 2026 рік, п’ятдесят чотири відсотки організацій заявили, що заплатять або, ймовірно, заплатять, якби стали жертвами програми-вимагача сьогодні, попри рекомендації ФБР проти виплати. Така готовність платити відображає фундаментальну відсутність альтернатив стримування, саме тих, які могли б надати процедури управління машинними ідентичностями.
Де плани дій щодо машинного управління ідентичностями зазнають невдачі
П’ять кроків стримування визначають більшість процедур реагування на програми-вимагачі сьогодні. Машинні ідентичності відсутні в кожному з них.
Скидання облікових даних не було розроблено для машин
Скидання паролів кожного співробітника після інциденту є стандартною практикою, але це не зупиняє бічний рух через скомпрометований обліковий запис служби. Шаблон плану дій Gartner чітко демонструє сліпий кут.
Аркуш стримування зразка плану дій щодо програм-вимагачів містить три кроки скидання облікових даних: примусовий вихід із системи для всіх облікових записів користувачів, що постраждали, через Active Directory, примусова зміна паролів для всіх облікових записів користувачів, що постраждали, через Active Directory, та скидання облікового запису пристрою через Active Directory. Три кроки, всі Active Directory, жодних нелюдських облікових даних. Жодних облікових записів служб, жодних ключів API, жодних токенів, жодних сертифікатів. Машинні облікові дані потребують власного ланцюга командування.
Ніхто не проводить інвентаризацію машинних ідентичностей до інциденту
Ви не можете скинути облікові дані, про існування яких ви не знаєте. Облікові записи служб, ключі API та токени потребують призначення власників перед інцидентом. Виявлення їх під час злому коштує днів.
Лише 51% організацій мають показник кібербезпеки, як показав звіт Ivanti, що означає, що майже половина не зможе повідомити раді директорів про свою експозицію машинних ідентичностей, якби їх запитали завтра. Лише 27% оцінюють свою оцінку ризиків як «відмінну», незважаючи на те, що 64% інвестують у управління експозицією. Розрив між інвестиціями та виконанням — це те місце, де зникають машинні ідентичності.
Ізоляція мережі не скасовує ланцюжки довіри
Видалення машини з мережі не скасовує ключі API, які вона видала дочірнім системам. Стримування, яке зупиняється на периметрі мережі, припускає, що довіра обмежена топологією. Машинні ідентичності не поважають цей кордон. Вони автентифікуються через нього.
Власне дослідження Gartner попереджає, що зловмисники можуть проводити дні чи місяці, проникаючи та здійснюючи бічний рух у мережах, збираючи облікові дані для стійкості, перш ніж розгортати програми-вимагачі. Під час цієї фази проникнення облікові записи служб та токени API є обліковими даними, які найлегше зібрати без спрацьовування сповіщень. За даними CrowdStrike, 76% організацій стурбовані тим, щоб зупинити поширення програм-вимагачів з некерованого хоста через мережеві спільні ресурси SMB. Керівники безпеки повинні визначити, які системи довіряли кожній машинній ідентичності, щоб вони могли відкликати доступ по всьому ланцюжку, а не лише з скомпрометованого кінцевого пункту.
Логіка виявлення не була створена для поведінки машин
Аномальна поведінка машинних ідентичностей не викликає сповіщень так, як скомпрометований обліковий запис користувача. Незвичні обсяги викликів API, токени, що використовуються поза вікнами автоматизації, та облікові записи служб, що автентифікуються з нових місць, вимагають правил виявлення, які більшість SOC не написали. Опитування CrowdStrike показало, що 85% команд безпеки визнають, що традиційні методи виявлення не встигають за сучасними загрозами. Проте лише 53% впровадили виявлення загроз на основі ШІ. Логіка виявлення, яка б виявляла зловживання машинними ідентичностями, ледь існує в більшості середовищ.
Застарілі облікові записи служб залишаються найлегшим пунктом входу
Облікові записи, які не ротувалися роками, деякі створені співробітниками, які давно пішли, є найслабшою поверхнею для атак на основі машин.
Рекомендації Gartner закликають до сильної автентифікації для «привілейованих користувачів, таких як адміністратори баз даних та інфраструктури, а також облікові записи служб», але ця рекомендація міститься в розділі запобігання, а не в плані дій зі стримування, де команди потребують її під час активного інциденту. Аудит безхазяйних облікових записів та графіки ротації належать до підготовки перед інцидентом, а не до метушні після злому.
Економіка робить це терміновим зараз
Агентний ШІ багаторазово помножить проблему. Вісімдесят сім відсотків фахівців з безпеки кажуть, що інтеграція агентного ШІ є пріоритетом, і 77% повідомляють про комфорт з тим, що автономний ШІ діє без людського нагляду, згідно зі звітом Ivanti. Але лише 55% використовують формальні захисні механізми. Кожен автономний агент створює нові машинні ідентичності — ідентичності, які автентифікуються, приймають рішення та діють незалежно. Якщо організації не можуть керувати машинними ідентичностями, які вони мають сьогодні, вони незабаром додадуть на порядки більше.
Gartner оцінює загальні витрати на відновлення в 10 разів вище за суму викупу. CrowdStrike оцінює середні витрати на простій через програми-вимагачі в 1,7 мільйона доларів (приблизно 68 мільйонів гривень) за інцидент, при цьому державний сектор в середньому витрачає 2,5 мільйона доларів (приблизно 100 мільйонів гривень). Плата не допомагає. Дев’яносто три відсотки організацій, які заплатили, все одно втратили дані, а 83% зазнали повторних атак. Майже 40% не змогли повністю відновити дані з резервних копій після інцидентів із програмами-вимагачами. Економіка програм-вимагачів настільки професіоналізувалася, що групи зловмисників тепер шифрують файли віддалено через мережеві спільні ресурси SMB з некерованих систем, ніколи не передаючи бінарний файл програми-вимагача на керований кінцевий пункт.
Керівники безпеки, які зараз включать інвентаризацію машинних ідентичностей, правила виявлення та процедури стримування до своїх планів дій, не лише подолають розрив, яким сьогодні користуються зловмисники, — вони будуть готові керувати автономними ідентичностями, які з’являться наступними. Тест полягає в тому, чи витримають ці доповнення наступну симуляцію. Якщо вони не витримають там, вони не витримають і під час реального інциденту.
Порада від ІТ-Блог:
Ця інформація критично важлива для будь-якої компанії, яка прагне забезпечити надійний захист від сучасних кіберзагроз. Зосередження на машинних ідентичностях у планах реагування на інциденти допоможе вам закрити суттєві прогалини в безпеці, які експлуатують зловмисники, та підвищити загальну готовність вашої організації до кібератак.
Інформація підготовлена на основі матеріалів: venturebeat.com