Почему классический SSO не работает в энтерпрайзе

В этом году команда крупного американского телекома изучила более 22 тыс. утечек, произошедших в компаниях из 139 стран. Информацию о киберинцидентах собирали по внутренним и открытым источникам, а также от партнеров — например, судебных экспертов и брокеров, занимающихся киберстрахованием. Анализ показал, что при атаках на инфраструктуру злоумышленники чаще всего выбирали путь наименьшего сопротивления, и их главной целью становились учетные данные. Так, согласно отчету, 88% атак на веб-приложения осуществлялись с использованием украденных логинов и паролей. При этом значительная часть скомпрометированных комбинаций не отвечала даже минимальным требованиям к сложности [неудивительно, что количество успешных брутфорс-атак с перебором паролей выросло втрое по сравнению с прошлым годом].

Параллельно увеличиваются и объемы утечек учетных данных. По оценкам израильской компании Cyberint, специализирующейся на анализе киберугроз, в 2025 году их количество увеличилось на 160%. Базы с логинами и паролями появляются в сети с пугающей регулярностью. Буквально в прошлом году в открытый доступ выложили набор из 16 млрд логинов, паролей, сессионных кук и токенов, собранных разного рода инфостилерами. И даже если учесть, что в нее попали данные не первой свежести, масштабы утечки довольно внушительные.

Это всё сухие факты. Сами по себе учётные данные – это ещё не всё, потому что у многих на сегодня конечно же есть как минимум двухфакторка на критичных системах, не правда ли? Поэтому вроде бы проблема утечек выглядит не такой пугающей. Но есть нюанс.
И этот нюанс заключается в том, что злоумышленники учитывают этот аспект и вместо прямой кражи учётных данных изыскивают различные способы для обхода защиты вторым фактором. А их в любой корпоративной инфраструктуре предостаточно, и вот почему.

Читайте продолжение на habr.com

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.