Логотип

Почему простое мониторинг утечек недостаточно: современные угрозы и как защититься

Почему простое мониторинг утечек недостаточно: современные угрозы и как защититься

В 2026 году кража учётных данных остаётся одной из ключевых угроз в области кибербезопасности, но, несмотря на это, многие организации по‑прежнему используют примитивные инструменты и checkbox‑подходы для борьбы с ней, что недостаточно для противостояния современным атакам.

По результатам недавнего исследования платформы для мониторинга даркнета Lunar, 85 % организаций считают угрозу кражи учетных данных высокой или очень высокой, а 62 % включили её в тройку самых приоритетных рисков по безопасности.

Однако многие ИТ‑команды ошибочно полагают, что наличие многофакторной аутентификации (MFA), EDR‑систем и zero‑trust подходов полностью защищает их от компрометации сервисов, аналитики и учётных записей. Это далеко не так: перечисленные меры часто не защищают от атак, в которых злоумышленник получает действительные сессионные данные или обходит механизмы контроля.

 

В чём проблема традиционного мониторинга утечек

Многие организации используют решения, которые сосредоточены на реакции на уже произошедшие утечки данных, вместо того чтобы обнаруживать и предотвращать активные угрозы, порождаемые инфостилерами.

Ключевые недостатки обычных инструментов мониторинга:

  • фокус на исторических утечках вместо анализа инфостилеров;
  • получение неполных и нефункциональных данных;
  • высокая задержка и неактуальные источники данных;
  • отсутствие автоматизации и интеграций для расследования.
Читать  Meta запускает новые инструменты для защиты от мошенничества в WhatsApp и Messenger

 

Лишь около 32 % организаций используют специализированные решения для мониторинга утечек учётных данных, а 17 % вовсе не имеют таких инструментов. Более 60 % проверяют утечки раз в месяц или реже, что даёт злоумышленникам достаточно времени для проникновения и эксплуатации сетей.

 

Угроза инфостилеров и почему она серьёзнее, чем кажется

Классические утечки — это лишь верхушка айсберга. Современные инфостилеры — это вредоносные инструменты, которые собирают:

  • логины и пароли;
  • сессионные куки и маркеры доступа;
  • данные из браузеров и приложений;
  • учётные данные SaaS‑сервисов.

 

Существует множество семейств инфостилеров, таких как LummaC2, Vidar, Acreed, Atomic macOS Stealer и другие, которые могут незаметно преодолевать защиту даже «взрослых» инфраструктур.

Сессионные куки — особенно опасный актив: они позволяют злоумышленникам обойти MFA, так как предоставляют доступ к уже авторизованным сессиям без ввода пароля.

 

Типичный сценарий атаки инфостилера

Этапы атаки могут быть следующими:

  1.  устройство жертвы инфицируется через эксплойт, вредоносное расширение браузера, игру или пиратское ПО;
  2.  инфостилер извлекает учётные данные и сессионные токены из браузера;
  3.  полученные данные объединяются в так называемые combolists и продаются на тёмных рынках;
  4.  злоумышленник использует действительные сессионные данные для доступа к корпоративной сети.

 

Этот процесс может быть завершён всего за несколько часов, тогда как устаревшие инструменты мониторинга могут сообщить о компрометации лишь спустя долгое время, когда злоумышленник уже нанес значительный ущерб.

Читать  Лучшие способы защитить ваш Linux-сервер от атак и взломов

 

Как создать зрелую программу мониторинга угроз

Чтобы эффективно защищаться, организациям необходимо перейти от разовых проверок к зрелой, автоматизированной программе мониторинга утечек и компрометации.

Ключевые элементы такой программы:

  1.  непрерывный мониторинг и нормализация данных из разных источников (утечки, инфостилеры, combolists, каналы обмена);
  2. автоматизация для уменьшения ложных срабатываний и сокращения ручной работы;
  3. интеграции с существующим стеком безопасности (SIEM, SOAR, IDP) для выполнения сценариев реагирования.

 

Такой подход даёт видимость угроз, контекст для анализа и инструменты для автоматической реакции, например сброс паролей или аннулирование сессий.

 

Заключение

Традиционный мониторинг утечек учётных данных больше не обеспечивает достаточной защиты в современных реалиях, когда инфостилеры действуют быстро и незаметно. Организациям необходимо перейти к зрелым, автоматизированным программам мониторинга, которые обеспечат непрерывную видимость угроз и возможности для быстрого реагирования.

Только такой подход позволяет своевременно обнаруживать компрометированные учетные данные, сессионные токены и скрытые активности злоумышленников, минимизируя ущерб и риски.

 

Часто задаваемые вопросы

Что такое инфостилер?

Инфостилер — это вредоносное ПО, которое крадёт учётные данные, сессионные куки и другие данные из браузера или приложений жертвы, а затем передаёт их злоумышленникам.

Почему обычный мониторинг утечек недостаточен?

Потому что он ориентирован на исторические утечки и не даёт своевременной информации о текущих угрозах, таких как активные инфостилеры или компрометации сессионных токенов.

Читать  Zyxel предупреждает о критической уязвимости, затрагивающей более десятка маршрутизаторов

Как можно защититься от атак с использованием сессионных куки?

Необходимо использовать более продвинутые решения, которые анализируют активность сессий, интегрируются с SIEM/SOAR и автоматизируют реагирование на инциденты.

Что такое зрелая программа мониторинга угроз?

Это непрерывный подход к сбору, нормализации и анализу данных о компрометациях, с автоматизацией и интеграцией с существующими системами безопасности.

 

Просмотров поста: 10

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
Безопасность в IT, НовостиIT
Кол-во комментариев: 0
Arch Linux делает nft бэкендом по умолчанию для iptables
Лицензии 1С:Предприятие — сравнение локальных и облачных решений и на что обратить внимание

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

пять − 2 =

Это может быть вам интересно

Число фишинговых атак с использованием кодов устройств выросло в 37 раз из-за распространения новых наборов в интернете
Число фишинговых атак с использованием кодов устройств выросло в 37 раз из-за распространения новых наборов в интернете
Check-Risk: эффективная защита сайта от атак и угроз
Check-Risk: эффективная защита сайта от атак и угроз
Apple расширяет обновления iOS 18 для защиты iPhone от атак DarkSword
Apple расширяет обновления iOS 18 для защиты iPhone от атак DarkSword
OpenSSH 10.3: подробный обзор обновлений, улучшений и новшеств
OpenSSH 10.3: подробный обзор обновлений, улучшений и новшеств

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала