К 2026 году инциденты были зафиксированы у 28 из 100 наиболее распространенных поставщиков образовательных организаций, причем наблюдение охватывает период с начала 2024 года. Среди трех основных установленных векторов похищенные или скомпрометированные учетные данные фигурировали в девяти случаях, эксплуатация уязвимостей – в пяти, социальная инженерия – также в пяти. В пересчете на эти три категории на учетные данные приходится 47,4% инцидентов, а на два других вектора – по 26,3%. Использование чужой учетной записи встречалось на 80% чаще, чем эксплуатация уязвимости или успешная атака методами социальной инженерии.
Риск повышается, когда поставщик получает привилегированный или интеграционный доступ к инфраструктуре университета. Подрядчики обслуживают системы дистанционного обучения, платформы совместной работы, кадровые сервисы, финансовые приложения, средства аналитики, облачную инфраструктуру и решения информационной безопасности. Для интеграции создаются административные аккаунты, сервисные учетные записи, API-ключи, OAuth-разрешения и доверительные связи между доменами. Часть этих механизмов сохраняется годами, поскольку отключение доступа может нарушить учебный процесс или работу административных подразделений. В результате злоумышленнику достаточно получить одну действующую пару логин-пароль, токен сессии или ключ интеграции, чтобы действовать в легитимном контексте и не привлекать внимания защитных средств на первых этапах атаки.
Отдельную роль играют инфостилеры, которые могут собирать пароли, cookies, данные автозаполнения, токены мессенджеров, VPN-конфигурации и сведения о корпоративных сервисах с рабочих и личных устройств сотрудников подрядчика. Признаки недавнего заражения инфостилерами обнаружены у 11,1% поставщиков. Наличие многофакторной аутентификации при этом не всегда останавливает развитие атаки. Похищенный токен активной сессии в некоторых системах может сохранить доступ без новой проверки MFA до своего истечения или отзыва. Поэтому защита должна включать контроль срока жизни и повторного использования токенов, условный доступ и выявление аномального поведения после входа. Дополнительный риск создают плохо сопровождаемые публичные ресурсы. У 13,3% поставщиков выявлены сайты на небезопасных версиях WordPress, у 5,9% – предпосылки для захвата поддоменов, у 4,2% – IP-адреса, которые связывались с размещением предполагаемых фишинговых страниц. Каждый такой сигнал по отдельности не подтверждает взлом, но их сочетание показывает, насколько быстро состояние ранее проверенного подрядчика может измениться.
«Для атакующего учетная запись поставщика особенно ценна, поскольку она уже встроена в доверительную модель заказчика. Такая активность может выглядеть как обычная работа подрядчика и не сразу вызывать срабатывания базовых правил мониторинга, авторизация проходит через привычный сервис, запросы идут с ожидаемыми правами, а активность не всегда выходит за формальные рамки роли. Поэтому контролировать нужно не только пароль и MFA, но и токены сессий, сервисные учетные записи, API-ключи, изменения способов восстановления доступа и поведение пользователя после входа. Иначе организация рискует обнаружить компрометацию уже при выгрузке данных или распространении атаки на внутренние системы», — отмечает Анатолий Песковский, директор Департамента наступательной безопасности компании «Информзащита».
Эксперты «Информзащиты» рекомендуют начинать защиту с полной инвентаризации всех учетных записей, сервисных аккаунтов, API-ключей и доверительных интеграций, предоставленных поставщикам. Доступ подрядчика должен выдаваться на ограниченный срок, соответствовать конкретной задаче и автоматически отзываться после завершения работ. Для административных операций целесообразно использовать системы управления привилегированным доступом (PAM), выдачу привилегий только на время выполнения задачи и изолированные точки подключения. События из систем идентификации, облачных платформ, VPN, почты и доступных заказчику административных панелей должны поступать в единый контур мониторинга. В договорах с подрядчиками необходимо устанавливать сроки уведомления о компрометации учетных данных, порядок предоставления материалов расследования и процедуру экстренного отзыва доступа. Такой подход может сократить время обнаружения компрометации и ограничить возможность использовать одного поставщика как точку входа в несколько организаций.