Контекст: защо identity е новият периметър

Преди пет години типичният пробив започваше с експлойт на уязвимост. Днес в повечето случаи атакуващият просто се логва — с откраднати, купени или social-engineered идентификационни данни. Verizon Data Breach Investigations Report за 2025 г. потвърди, че над 74% от пробивите включват compromised credentials или human element.

Резултатът е прост: ако не контролирате идентичностите в организацията си — потребителски акаунти, service accounts, машинни идентичности — нападателят вече е вътре, преди да сте разбрали, че нещо се случва.

Какво реално се случва при identity атака

Credential stuffing и password spraying

Автоматизирани инструменти тестват милиарди комбинации от изтекли данни срещу корпоративни портали, VPN и SaaS приложения. Атаката е тиха, бавна и трудна за засичане с прости rate-limiting правила.

MFA fatigue (push bombing)

Нападателят изпраща десетки MFA push нотификации до жертвата, докато тя не натисне „Approve“ от умора или объркване. Точно тази техника беше използвана при атаките срещу Uber и Cisco. Push-based MFA без number matching е практически безполезен срещу тази атака.

Token theft и session hijacking

Дори с перфектно MFA — ако нападателят открадне session token след успешното влизане (чрез AiTM proxy или malware на endpoint-а), той заобикаля цялата автентикация. Инструменти като Evilginx2 и Modlishka правят AiTM атаки тривиално лесни за изпълнение.

Service account abuse

Service accounts рядко имат MFA, рядко се ротират и често имат прекалено широки права. Те са любима цел за lateral movement — акаунт без собственик, без мониторинг, без контекст.

Практични стъпки за укрепване на identity security

1. Преминете към phishing-resistant MFA

Push notifications и SMS кодове не са достатъчни. FIDO2/WebAuthn (Passkeys, hardware security keys) са единственият клас MFA, устойчив срещу AiTM атаки и phishing. Ако не можете да преминете изцяло, приложете поне number matching и additional context в Microsoft Authenticator / Duo.

2. Инвентаризирайте и почистете service accounts

Направете пълна инвентаризация на всички non-human identities. За всеки service account определете: кой го притежава, какви права има, кога последно е използван. Премахнете неизползваните. Ротирайте credentials. Приложете least privilege.

3. Внедрете Conditional Access с risk-based policies

Условният достъп трябва да оценява контекста на всяко влизане: устройство (managed/unmanaged), локация, IP reputation, потребителски риск скор, поведенчески аномалии. Microsoft Entra ID и Okta предлагат зрели risk-based conditional access политики, които могат да блокират или да изискат step-up автентикация при аномалии в реално време.

4. Мониторирайте identity telemetry

Identity-свързани сигнали трябва да постъпват в SIEM/XDR платформата ви:

• Невъзможни пътувания (logon от София и Лондон в рамките на 30 минути)
• Masss MFA failures последвани от успешен logon
• Token използван от необичайна IP или User-Agent
• Новорегистрирани устройства с privileged достъп

5. Privileged Access Workstations (PAW)

Административните акаунти не трябва да се използват от стандартни работни станции. PAW изолира high-privilege дейността на отделно, hardened устройство без достъп до интернет и email — минимизирайки credential theft вектора.

Ключов извод: Identity атаките работят, защото се представят за легитимна дейност. Единственият начин да ги спрете е да добавите контекст и непрекъсната верификация към всяко действие — не само при влизане.

Заключение

Identity security вече не е задача само на IAM екипа — тя е фундамент на цялостната сигурностна архитектура. Организациите, които инвестират в phishing-resistant автентикация, непрекъснат мониторинг на identity telemetry и строго управление на service accounts, значително намаляват вероятността от успешен пробив — дори когато нападателят вече разполага с валидни credentials.