Только 27% привилегированных учетных записей в корпоративном секторе защищены сертификатами

Эксперты BI.ZONE PAM проанализировали практику управления привилегированным доступом в крупном бизнесе и выяснили, что пароль остается основным способом аутентификации для критически важных учетных записей.

Исследование показало, что 73% привилегированных учетных записей защищены паролями, тогда как для 27% применяются сертификаты с более надежной криптографической защитой. Хотя в России активно развивается концепция zero trust, парольная аутентификация пока остается основным способом защиты. При этом пароль можно подобрать, получить с помощью фишинга или украсть в результате утечки данных. Сотрудники также могут использовать одинаковые пароли в нескольких системах. В таком случае компрометация одного сервиса способна дать злоумышленникам доступ и к другим корпоративным ресурсам.

До сих пор во многих компаниях пароли не меняют годами. По данным BI.ZONE TDR, в 19% корпоративных аккаунтов используются пароли старше одного года, а в 2% - старше 10 лет. Кроме того, в среднем у 22% учетных записей установлен атрибут PasswordNeverExpires ("пароль никогда не истекает").

У 19% учетных записей пароли такие же, как у других пользователей внутри компании. В одной из организаций этот показатель достигал 43%. Часто причина в том, что сотрудники не меняют стандартные пароли, выданные при трудоустройстве.

Артем Назаретян, руководитель BI.ZONE PAM: "Дополнительный риск создает структура доступа к информационным системам. В среднем по компаниям около 6% учетных записей имеют доступ более чем к 10 тыс. корпоративных систем, а примерно 2% - к десяткам тысяч сетевых ресурсов. При этом 4-5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учетной записи может привести к быстрому распространению атаки внутри инфраструктуры".

Мировая практика движется в сторону отказа от паролей в пользу сертификатной аутентификации и сокращения срока жизни учетных данных. По прогнозам CA/Browser Forum, к 2029 г. максимальный срок действия SSL/TLS-сертификатов сократится до 47 дней.

Вероятно, этот тренд скоро придет и в Россию. Администрировать сертификаты вручную на уровне отдельных пользователей станет практически невозможно, поэтому возрастет потребность в централизованном управлении жизненным циклом учетных данных.

В этих условиях ключевую роль начинают играть PAM-платформы. Они автоматизируют выпуск, ротацию и отзыв сертификатов и секретов, объединяя эти процессы в единый цикл. Такой подход снижает операционную нагрузку, а также сокращает риск компрометации учетных данных за счет их регулярного обновления и контроля.