Útoky na identitu jsou čím dál sofistikovanější. Typický scénář, se kterým se u svých zákazníků pravidelně setkáváme, je stále stejný. Uživatel naletí na phishingový e-mail, zadá údaje na falešné stránce a útočníci kompromitují veřejně dostupnou službu. S pomocí nástrojů AI se pak vydávají za daného uživatele, získávají přístup k datům, rozesílají další podvodné zprávy nebo žádají o platby, typicky formou tzv. CEO fraudu, kdy se útočník vydává za vedení firmy. Roste také využití techniky ClickFix, která obchází hesla pomocí falešné captcha a přiměje uživatele potvrdit škodlivou akci.

Reálný útok tohoto typu jsme nedávno řešili u jedné firmy, která obchoduje celosvětově. Útočník se nejprve dostal k e-mailovému účtu jejího zahraničního obchodního partnera a měsíce v tichosti sledoval jejich vzájemnou komunikaci. Díky AI pak dokázal perfektně napodobit styl i kontext jejich běžné korespondence. Ve správný okamžik však poslal fakturu, která vypadala naprosto běžně – stejný formát, obvyklá částka, známý odesílatel. Jediný rozdíl byla doména e-mailu, která se lišila jedinou pomlčkou.

Jakmile útočník získá přihlašovací údaje uživatele nebo služebního účtu, má přímý vstup do interních systémů organizace. Může číst, mazat či exportovat data, měnit nastavení, zadávat neoprávněné platby a postupně rozšiřovat přístup napříč sítí. Největší dopad mají kompromitace účtů s vyššími oprávněními, které otevírají cestu napříč systémy. Podle mezinárodních analýz stojí zneužití identity za více než 80 % incidentů s vážnými dopady, přičemž jejich počet v Evropě každoročně roste zhruba o třetinu, mimo jiné díky automatizaci a nástrojům umělé inteligence.

Problém většiny organizací nespočívá v tom, že by postrádaly bezpečnostní technologie, ale v tom, jak s nimi ve skutečnosti pracují. Mnoho firem má vícefaktorové ověřování zavedené jen částečně nebo používá slabší metody, jako jsou SMS či push notifikace, které lze obejít taktikou zahlcení potvrzovacími dotazy. Častým slabým místem je i správa privilegovaných a servisních účtů. Přístupy se nerevidují, klíče se nerotují a účty s vyššími právy zůstávají aktivní déle, než je nezbytné. Tam, kde chybí centrální správa a audity oprávnění, vzniká dlouhodobé riziko zneužití.

Dalším problémem je pohodlnost a ekonomika. Administrátoři často pracují trvale pod privilegovanými účty, aby šetřili čas, a vedení firem zase odkládá implementaci přísnějších opatření kvůli obavám z nákladů nebo dopadu na provoz. Výsledkem je kompromisní úroveň ochrany, která formálně splňuje bezpečnostní standardy, ale v praxi ponechává prostor pro útok. Rizikové jsou také účty dodavatelů a partnerů. Mají často předem schválený přístup do systémů a považují se za důvěryhodné, takže jejich zneužití bývá obtížné odhalit. Pokud jsou navíc sdílené mezi více lidmi nebo se jejich aktivita nedostatečně sleduje, může se kompromitace v provozu snadno přehlédnout.

 

Z technického pohledu je zásadní centralizovaná správa identit s jednoznačně definovanými rolemi a přístupy podle principu nejmenších oprávnění. Privilegované účty, tedy přístupy s vyššími oprávněními, například administrátorské nebo servisní, by měly být spravovány prostřednictvím PAM systémů. Tyto nástroje umožňují přístupy centrálně řídit, pravidelně měnit, kontrolovat jejich použití a časově je omezovat.

Součástí základní ochrany by mělo být také odolné vícefaktorové ověřování, které není snadno napadnutelné phishingem. Patří sem metody jako FIDO2 bezpečnostní klíče, passkeys nebo hardwarové tokeny, které ověřují uživatele pomocí fyzického zařízení či biometrie. Moderní bezpečnostní architektura by měla počítat i s podmíněným přístupem, který povolí přihlášení jen z důvěryhodných zařízení nebo lokalit, a s ověřením zařízení, jež zaručí, že se do systémů připojují pouze schválené firemní stanice. Události související s identitami by navíc měly být průběžně sledovány a vyhodnocovány v systému SIEM, který umožňuje rychle rozpoznat podezřelé chování a reagovat dřív, než dojde ke škodám.

Bezpečnost nestojí jen na technologiích. Slabiny často vznikají i v tom, jak s nimi organizace zachází, například kvůli zastaralým procesům, nejasným odpovědnostem nebo pomalému předávání informací mezi odděleními. Typickým problémem je nedostatečná komunikace mezi HR, IT a bezpečností, kdy se změny pracovních rolí nebo odchody zaměstnanců do správy přístupů promítají se zpožděním, nebo vůbec. Pomáhá proto zavést automatizované on/offboarding procesy, které změny v zaměstnaneckém statusu promítají přímo do systému správy identit. 

Osvědčuje se také zavedení časově omezeného přístupu. V praxi to znamená, že administrátoři nebo externí dodavatelé získávají vyšší oprávnění jen po dobu, kdy je opravdu potřebují, například při údržbě systému nebo servisním zásahu. Po uplynutí stanoveného času se přístup automaticky zruší. Takový postup podporuje princip zero trust a pomáhá firmám udržet přehled o tom, kdo, kdy a proč měl do systému zvýšená práva. Zároveň snižuje riziko, že v prostředí zůstanou zapomenuté účty nebo přístupy mimo pracovní kontext.

Neméně důležitou roli hraje i rozvoj bezpečnostního povědomí. Uživatelé čelí stále sofistikovanějším podvodům, a proto má smysl kombinovat vzdělávání s praktickým tréninkem, například formou phishingových simulací nebo krátkých interaktivních cvičení. Tam, kde lidé chápou souvislosti, se daří útoky odhalit dřív, než způsobí reálné škody.

Odolnost vůči útokům na identitu vyžaduje dlouhodobý přístup, ve kterém se bezpečnost stává součástí řízení firmy, její kultury i běžného provozu. Firmy, které k bezpečnosti přistupují systematicky a propojují technologie s odpovědností lidí, zvládají útokům nejen předcházet nebo je rychleji odhalit, ale i lépe zvládnout jejich dopady. Ochrana identity dnes není téma jen pro „ajťáky“. Je to zrcadlo firemní kultury, zralosti a schopnosti řídit rizika.

 

 

Použité a citované zdroje: