Почему MFA больше не гарантирует безопасность: кража сессий и угрозы эпохи ИИ

Современные системы многофакторной аутентификации (MFA) все чаще становятся лишь формальностью для квалифицированных злоумышленников. Даже если проверка пройдена успешно, а панель управления отображает корректную работу всех средств защиты, хакеры могут находиться внутри сети, скрытно перемещаясь по Active Directory с помощью валидных токенов сессий и повышая свои привилегии для захвата контроллера домена.

В экспертных кругах отмечается, что эта проблема актуальна для предприятий, которые инвестировали значительные средства в проверку подлинности, полагая, что на этом защита заканчивается. Система выполняет свою задачу — проверяет пользователя «на входе», но больше не контролирует его действия. Взлом не обходит MFA, он начинается сразу после того, как проверка успешно пройдена.

Архитектурная слепая зона идентификации

ИТ-директор компании NOV Алекс Филипс выявил этот пробел в ходе операционного тестирования. В обзоре отмечается, что простого сброса пароля сегодня недостаточно. Для предотвращения горизонтального перемещения хакеров внутри сети необходимо мгновенно аннулировать токены сессий на уровне ресурсов.

Проблема заключается в архитектурном «белом пятне», которое присутствует почти в каждой корпоративной системе. Как только пользователь успешно проходит аутентификацию, полученный токен сессии переносит это доверие на все последующие действия без повторной проверки. Тот, кто владеет этим токеном — будь то сотрудник или злоумышленник — наследует все права доступа, связанные с сессией. Исследование NOV подтвердило, что кража токенов является основным вектором наиболее сложных атак.

Согласно отчету CrowdStrike о глобальных угрозах, среднее время «прорыва» (breakout time), необходимое киберпреступникам для начала перемещения по сети после получения доступа, сократилось в 2025 году до 29 минут. При этом рекордная скорость составила всего 27 секунд. В 82% случаев обнаружения угроз вредоносное ПО вообще не использовалось — злоумышленникам не нужны сложные эксплойты, если у них есть валидные токены.

Искусственный интеллект и индустриализация фишинга

Противники осознали, что кража учетных данных или использование социальной инженерии — это кратчайший путь в защищенную среду. По словам специалистов по противодействию киберугрозам, современные системы защиты конечных точек повысили стоимость и риски использования вредоносного ПО. В то же время украденные учетные данные не вызывают подозрений и не имеют сигнатур, позволяя хакеру получить доступ ко всем ресурсам легитимного пользователя.

В отчетах по кибербезопасности фиксируется взрывной рост новых типов атак:

• Количество вишинг-атак (голосового фишинга) выросло на 442% за год.
• Число попыток мошенничества с использованием дипфейков увеличилось более чем на 1300%.
• Количество атак с подменой лиц (face swap) выросло на 704%.
• Эффективность фишинговых писем, созданных ИИ, сравнялась с работой экспертов-людей и достигла 54% переходов по ссылкам (для сравнения: у обычного массового фишинга этот показатель составляет 12%).

Главная угроза заключается в том, что ИИ позволяет любому атакующему действовать на уровне эксперта по социальной инженерии при минимальных затратах. Цепочка поставок учетных данных теперь работает в промышленных масштабах.

Разрыв между управлением доступом и безопасностью

Аналитики Gartner прогнозируют, что к 2026 году 30% предприятий перестанут считать биометрическую проверку лица надежной из-за развития дипфейков. В отчете Ivanti о состоянии кибербезопасности подчеркивается, что разрыв между возможностями хакеров и средствами защиты за год увеличился в среднем на 10 пунктов.

Эксперты указывают на организационную ошибку: вопросы управления сессиями часто попадают в «серую зону» между отделами ИТ-администрирования и кибербезопасности. Это происходит из-за того, что проблему редко классифицируют как прямой бизнес-риск, связанный с финансовыми потерями, что ведет к недостаточному бюджетному финансированию этой области.

Стратегия защиты: восемь необходимых шагов

Опыт передовых компаний показывает, что эти пробелы можно закрыть. Эксперты рекомендуют сфокусироваться на следующих приоритетах:

• Сокращение времени жизни токенов: интерактивные сессии должны длиться часы, а не дни. Для сервисных аккаунтов необходимо внедрить график ротации.
• Отработка сценария отзыва сессий: команда должна уметь принудительно завершать живую скомпрометированную сессию менее чем за пять минут.
• Сквозной мониторинг: необходимо обеспечить видимость всех доменов, чтобы аналитик мог сопоставить аномалию в каталоге с входом в облако и подозрительным поведением на конечном устройстве.
• Расширение условного доступа: проверка должна происходить не только при первом входе, но и при каждом запросе к чувствительному ресурсу.
• Переход на беспарольную аутентификацию: замена SMS и push-уведомлений на устойчивые к фишингу стандарты FIDO2 и пасскеи (passkeys).
• Аудит разделения обязанностей: ни один сотрудник или сервисный аккаунт не должен иметь возможности одновременно сбрасывать учетные данные и отключать MFA.
• Протоколы верификации вне основного канала: использование заранее согласованных «секретных слов» для подтверждения личности при инцидентах, чтобы исключить обман со стороны ИИ-дипфейков в голосе или тексте.
• Выделение бюджета на управление идентификацией: непрерывная проверка личности и управление жизненным циклом токенов должны иметь ответственного владельца и целевое финансирование.

Трансформация системы защиты может занять месяцы, а не годы. Основная задача для современных ИБ-директоров — перестать воспринимать аутентификацию как финишную черту и начать рассматривать ее лишь как первый этап непрерывного контроля доступа.