Проверять личность мало: устройству тоже нужно доверять

Украденные сессии и скомпрометированные устройства обходят сильную идентификацию. Доступ стоит проверять по текущему состоянию устройства.

2026-05-24 GIGATAP Team #security
#identity-security#zero-trust#endpoint-security

Проверка личности ломается, если сессии уже доверяют#

У программы безопасности могут быть сильные проверки личности — и всё равно она может потерять аккаунт.

В этом главный вывод материала BleepingComputer, основанного на анализе Specops Software: одной проверки личности недостаточно, если атакующие используют украденные session tokens, скомпрометированные устройства или уже одобренные пути доступа. В таких случаях событие входа может выглядеть легитимно: злоумышленник не обязательно подбирает пароль в реальном времени. У него уже может быть то, что система ожидает увидеть.

Удобная рамка простая. Идентификация отвечает на вопрос, кто пытается получить доступ к системе. Безопасность устройства помогает понять, стоит ли всё ещё доверять машине, с которой приходит запрос.

Второй вопрос всё сложнее игнорировать.

Что говорит источник#

В материале сказано, что атакующие могут обходить защиты, построенные вокруг личности пользователя, злоупотребляя украденными session tokens и скомпрометированными устройствами. Specops считает, что стратегии Zero Trust всё чаще требуют непрерывной проверки устройства, а не только аутентификации пользователя при входе.

Это не значит, что идентификация устарела. Контроль паролей, MFA, conditional access и мониторинг аккаунтов по-прежнему нужны. Тезис уже: у проверок личности есть слепые зоны, когда доверие заимствуется у валидной сессии или у устройства, которое когда-то считалось безопасным.

Украденный session token может позволить атакующему обойти нормальный процесс входа. Скомпрометированное устройство может сделать вредоносную активность похожей на действия с известного endpoint. Если модель безопасности считает первичную аутентификацию достаточной, злоумышленник может продолжать движение уже после того, как исходное подтверждение личности устарело.

Непрерывная проверка устройства пытается сократить этот разрыв. Часть решения о доверии смещается с вопроса «прошёл ли пользователь аутентификацию?» к вопросу «соответствует ли устройство условиям доступа прямо сейчас?»

Такие условия могут включать posture signals: состояние обновлений, статус security agent, enrollment устройства, шифрование диска, подозрительное поведение и другие контроли, доступные организации. Конкретная реализация зависит от стека. Принцип шире любого отдельного инструмента вендора.

Почему это важно#

Многие организации годами усиливали защиту личности. Это было нужно. И всё ещё нужно. Но атакующие подстраиваются под то, что становится главным шлюзом.

Если MFA блокирует захват аккаунта только по паролю, атакующие ищут кражу сессий. Если conditional access доверяет управляемым устройствам, атакующие пытаются скомпрометировать эти устройства или повторно использовать доверенный доступ с них. Если браузер становится рабочей панелью управления, браузерные сессии превращаются в ценную цель.

Поэтому Zero Trust часто даёт сбой, когда его сводят к проекту по идентификации. Модель держится на повторных проверках пользователя, устройства, приложения, сети и поведения. Если вся нагрузка ложится на один слой, остальная среда может стать маршрутом обхода.

Для обычных пользователей практический эффект виден в небольших неудобствах: проверки соответствия устройства политике, принудительная повторная аутентификация, запрет доступа с неуправляемых машин, endpoint agents, контроль браузерных сессий или потеря доступа после того, как устройство вышло из политики.

Эти меры не всегда изящны. Их можно неправильно настроить. Они создают нагрузку на поддержку. Но причина понятна: валидное имя пользователя и запрос MFA не доказывают, что endpoint чистый, а когда-то валидная сессия не доказывает, что текущий оператор легитимен.

Чего не стоит утверждать#

Исходный материал короткий и подан через призму вендора, а не как подробный отчёт об инциденте. В нём не названы конкретный взлом, цепочка эксплуатации, затронутая версия продукта или измеренная частота отказов. Он также не доказывает, что каждой организации нужна одна и та же модель проверки устройств.

Есть риск превратить фразу «одной идентификации недостаточно» в очередной общий лозунг. Безопасность устройств тоже не волшебное решение.

Скомпрометированный endpoint иногда может лгать о своём состоянии. Endpoint agents можно отключить, обойти или плохо мониторить. Проверки device posture могут блокировать добросовестных пользователей и при этом пропускать более тонкие злоупотребления. А если исключения из политик встречаются часто, атакующие будут искать именно их.

Более аккуратный вывод такой: проверки личности не должны быть единственным сигналом доверия. Состояние устройства должно брать на себя часть нагрузки там, где риск оправдывает затраты.

Что командам проверить дальше#

Команды безопасности могут использовать этот материал как повод пересмотреть места, где решения о доступе слишком сильно зависят от единственного события входа.

Начать можно с таких вопросов:

  • Может ли украденный session token всё ещё получать доступ к критичным системам без свежих проверок?
  • Блокируются ли неуправляемые или несоответствующие политике устройства при доступе к чувствительным приложениям?
  • Влияет ли device posture на доступ или только записывается в логи постфактум?
  • Защищены ли высокорисковые действия step-up authentication или повторной проверкой сессии?
  • Может ли команда обнаруживать impossible travel, необычные изменения устройства или аномальное поведение сессии?
  • Контроли безопасности endpoint реально применяются или просто подразумеваются?

Цель не в том, чтобы добавить случайные препятствия. Цель — привязать доступ к актуальным сигналам доверия. Пользователь, устройство и сессия могут изменить состояние после входа. Политика безопасности должна заметить это до того, как атакующий превратит валидную сессию в устойчивый доступ.

Идентификация остаётся центральным контролем. Просто ей не стоит стоять у ворот в одиночку.