Мониторинг и реагирование на инциденты с учётными записями
Мониторинг и реагирование на инциденты, связанные с учётными записями: как выявлять компрометацию доступов
Компрометация учётной записи — это получение несанкционированного доступа к корпоративным системам через чужие учётные данные. По статистике, среднее время между компрометацией и её обнаружением составляет несколько недель. За это время злоумышленник изучает инфраструктуру, собирает данные и готовится к основной атаке.
Разрыв между моментом компрометации и обнаружением — это то, что превращает небольшой инцидент в катастрофу. Большинство крупных утечек данных начинались с одной скомпрометированной учётной записи, которую никто не заметил вовремя.
Эта статья — о том, как сократить это окно до минимума: какие сигналы искать, какие инструменты использовать и как действовать, когда компрометация подтверждена.
Почему учётные записи компрометируются: пять основных путей
Понимание векторов атаки помогает правильно расставить приоритеты в мониторинге.
Фишинг. Сотрудник переходит по ссылке в письме, вводит корпоративные учётные данные на поддельной странице. По данным отчётов об инцидентах, фишинг остаётся самым распространённым вектором компрометации корпоративных аккаунтов — ответственен за более чем 36% инцидентов.
Утечка через сторонний сервис. Сотрудник использует корпоративный email и тот же пароль на внешнем сервисе, который подвергся взлому. База данных этого сервиса попадает в публичный доступ — и с ней корпоративные учётные данные. Это называется credential stuffing: автоматический перебор скомпрометированных пар логин-пароль по корпоративным системам.
Инсайдер. Намеренный или случайный. Сотрудник передаёт пароль коллеге «на время», подрядчик использует учётные данные после окончания контракта, уволенный не потерял доступ вовремя.
Слабый или повторяющийся пароль. Атака методом перебора по словарю. Пароли типа «Компания2024!» или «qwerty123» перебираются за секунды на современном оборудовании.
Вредоносное ПО. Keylogger или инфостилер на устройстве сотрудника перехватывает учётные данные при вводе. Особенно актуально для сотрудников на удалённой работе с личными устройствами.
Три уровня мониторинга: от реактивного к проактивному
Эффективный мониторинг компрометации строится на трёх уровнях, каждый из которых работает в своём временном горизонте.
🔴
Реактивный мониторинг
После события
Расследование инцидента после того, как он произошёл. Анализ журнала событий, восстановление хронологии, установление масштаба. Реакция в часах и днях.
🟡
Детективный мониторинг
Во время события
Обнаружение аномалий в реальном времени: нетипичные авторизации, подозрительные паттерны. Реакция в минутах и часах.
🟢
Проактивный мониторинг
До события
Выявление скомпрометированных паролей до использования, автоматические уведомления при рисковых событиях, аудит безопасности. Реакция до инцидента.
Большинство компаний работают только на первом уровне — реагируют после того, как инцидент уже произошёл. Цель выстроенной системы мониторинга — сдвинуть обнаружение на второй и третий уровни.
Признаки компрометации: что искать в первую очередь
Признак компрометации учётной записи — это поведенческое или техническое отклонение от нормального паттерна активности пользователя. Разберём конкретные сигналы по категориям.
Аномалии авторизации
🔸 Вход с нетипичного IP-адреса. Пользователь всегда авторизуется из офисной сети или через корпоративный VPN — и вдруг вход с домашнего IP или с зарубежного адреса. Не обязательно инцидент, но требует проверки.
🔸 Два входа с разных IP в течение короткого времени. Пользователь не может физически находиться в двух местах одновременно. Если в журнале — авторизация из Москвы в 14:00 и авторизация из другого региона в 14:15, одна из них не принадлежит реальному сотруднику.
🔸 Авторизация в нерабочее время. Вход в 03:00 или в выходной день от учётной записи сотрудника, который обычно работает строго в рабочее время — сигнал, требующий объяснения.
🔸 Множественные неудачные попытки входа. Паттерн брутфорса или перебора паролей. После серии неудачных попыток — успешный вход. Это классический признак взлома методом перебора.
Аномалии в работе с паролями
🔸 Резкий рост числа просмотренных паролей. Пользователь обычно открывает 3–5 паролей в день — и вдруг за один сеанс открыл 50. Это нетипичное поведение, которое может означать как компрометацию аккаунта, так и подготовку к уходу из компании.
🔸 Просмотр паролей, не связанных с ролью. Менеджер по продажам открывает пароли из папки «Серверная инфраструктура». Бухгалтер обращается к учётным данным от GitHub. При правильно настроенном RBAC такого быть не должно — а если происходит, это аномалия.
🔸 Экспорт данных. Попытка выгрузить пароли из системы — особенно если политика экспорта ограничена. Единичный экспорт может быть рабочей задачей. Экспорт из нескольких чувствительных папок за один день — поводом для немедленной реакции.
Аномалии в управлении доступами
🔸 Несанкционированное изменение прав. Кто-то дал себе или другому доступ к чувствительной папке без соответствующего запроса. Особенно тревожный сигнал — расширение прав привилегированной учётной записи.
🔸 Добавление новых пользователей. Создание учётной записи без прохождения стандартного onboarding-процесса может означать создание «backdoor» аккаунта для последующего доступа.
Есть ли у вас система обнаружения этих аномалий?
BearPass фиксирует все события с учётными данными и позволяет настроить автоматические уведомления при нетипичной активности. Модуль «Правила» работает в реальном времени. До 5 пользователей бесплатно навсегда.
BearPass предоставляет три взаимодополняющих инструмента для мониторинга компрометации: аудит безопасности, журнал событий и модуль «Правила». Каждый закрывает свой временной горизонт обнаружения.
Аудит безопасности: постоянный срез состояния паролей
Раздел «Аналитика» в консоли администратора показывает сводную картину безопасности по всем хранимым паролям в режиме реального времени. Три ключевых показателя:
Уровень безопасности — собственный коэффициент BearPass, рассчитываемый по формуле с весовыми коэффициентами. Интегральная оценка состояния паролей по всей организации. Позволяет отслеживать динамику: если показатель начал снижаться — что-то изменилось в структуре паролей.
Устойчивость ко взлому. BearPass проверяет каждый пароль по четырём критериям: длина не менее 12 символов, наличие прописных и строчных символов, наличие спецсимволов, отсутствие в базе скомпрометированных паролей. По результатам — три уровня устойчивости: низкая, средняя, высокая. Слабые пароли подсвечиваются в списках цветовой индикацией — администратор видит их сразу без ручного просмотра каждой записи.
Устаревшие пароли. Пароли, которые не менялись дольше шести месяцев, отмечаются как устаревшие. Это не значит, что они скомпрометированы — но это повышенный риск, особенно для систем с чувствительными данными.
Скомпрометированные пароли. Это самая важная часть аудита. BearPass проверяет пароли через API сервиса HaveIBeenPwned с использованием k-Anonymity протокола: пароль в открытом виде не передаётся никуда. Отправляются только первые 5 символов SHA1-хеша — это безопасно. Сравнение с базой утечек происходит внутри BearPass. Если пароль найден в публичных базах скомпрометированных паролей, он помечается иконкой «жучка» в общих списках и учитывается в счётчике на дашборде аудита.
Это означает: даже если сотрудник не знает, что его пароль утёк — BearPass обнаружит это автоматически. Не при следующем плановом аудите, а в режиме постоянного мониторинга.
Журнал событий: хронология для расследования
Журнал фиксирует шесть типов событий с точностью до секунды и с IP-адресом для каждого: авторизации, просмотры паролей, обновление элементов, изменение прав доступа, импорт и экспорт данных.
Для мониторинга компрометации ключевые возможности журнала:
Фильтрация по пользователю — вся активность конкретного аккаунта за выбранный период. При подозрении на компрометацию это первое, что нужно открыть.
История конкретной записи — вкладка «Журнал» в карточке любого пароля показывает всех, кто к нему обращался. Если пароль от production-базы данных открывали пять человек, которым это не положено по роли — это видно сразу.
Фильтрация по типу события — быстрая выборка всех фактов экспорта или всех изменений прав доступа за период.
Интеграция с SIEM — экспорт через syslog в KUMA, MaxPatrol SIEM, QRadar и другие системы. Это позволяет строить корреляционные правила: нетипичный вход в VPN плюс просмотр привилегированных паролей в BearPass в то же время — автоматический алерт.
Модуль «Правила»: автоматические уведомления в реальном времени
Это главный инструмент перехода от реактивного к проактивному мониторингу. Модуль «Правила» переводит мониторинг с «посмотреть что было» на «узнать немедленно когда происходит».
Принцип работы: правило срабатывает когда в системе происходит выбранный тип события и при этом выполнена вся цепочка заданных условий. При срабатывании система отправляет email-уведомление или блокирует операцию с показом сообщения пользователю.
Доступные триггеры для правил:
🔹 Авторизация пользователя
🔹 Просмотр пароля
🔹 Создание элемента
🔹 Обновление элемента
🔹 Перемещение элемента в корзину
🔹 Удаление элемента из корзины
🔹 Обновление права доступа к элементу
Условия строятся через гибкий конструктор с операторами И/ИЛИ и поддержкой регулярных выражений. Это позволяет создавать сложные правила: уведомить не просто о любом просмотре пароля, а о просмотре пароля из папки «Production» пользователем, не входящим в группу «DevOps».
Практические сценарии правил для мониторинга компрометации
Вот конкретные правила, которые стоит настроить в первую очередь.
Зачем: сервисные аккаунты не должны входить интерактивно — любой вход требует объяснения
🛡
Изменение прав доступа к чувствительным папкам
Триггер: «Обновление права доступа к элементу» · Условие: папка входит в список критических · Действие: уведомление
Зачем: несанкционированное расширение прав можно обнаружить до использования нового доступа
🗑
Блокировка удаления критических записей
Триггер: «Перемещение элемента в корзину» · Условие: папка = критические системы · Действие: запретить операцию
Зачем: предотвращает уничтожение данных перед уходом сотрудника или при попытке скрыть следы
Пошаговый алгоритм реагирования при обнаружении компрометации
Когда сигнал получен — будь то уведомление от модуля «Правила», обнаруженный скомпрометированный пароль в аудите или сообщение от сотрудника — важно действовать по чёткому алгоритму, а не хаотично.
Фаза 1. Сдерживание (первые 15 минут)
Цель этой фазы — остановить потенциальное распространение компрометации прямо сейчас, ещё до завершения расследования.
Шаг 1. Kill Switch. В BearPass — один клик в карточке пользователя завершает все его активные сессии на всех устройствах одновременно. Если учётная запись скомпрометирована, злоумышленник теряет доступ немедленно.
Шаг 2. Блокировка учётной записи. Дополнительно к Kill Switch — деактивировать учётную запись в BearPass и заблокировать в Active Directory. Это предотвращает повторный вход.
Шаг 3. Сохранение журнала. Немедленно зафиксировать состояние журнала за период подозрительной активности. Сохранить выгрузку — она понадобится для расследования и, возможно, для регулятора.
Фаза 2. Оценка масштаба (первые 2 часа)
Шаг 4. Анализ журнала за период. Что делал скомпрометированный аккаунт: какие пароли открывал, что экспортировал, права каких пользователей менял? Это определяет масштаб потенциальной утечки.
Шаг 5. Инвентаризация скомпрометированных паролей. Составить список всех паролей, к которым имел доступ скомпрометированный аккаунт. Для каждого — оценить критичность системы и данных.
Шаг 6. Проверка связанных аккаунтов. Если скомпрометированный пользователь менял права доступа другим — проверить и их активность. Компрометация может распространяться по цепочке.
Фаза 3. Устранение (первые 24 часа)
Шаг 7. Смена паролей. Сменить все пароли из списка, составленного на шаге 5. Приоритет — системы с персональными данными и критическая инфраструктура.
Шаг 8. Проверка и очистка. Проверить, не были ли созданы новые учётные записи, не были ли изменены права других пользователей. Откатить несанкционированные изменения.
Шаг 9. Уведомление Роскомнадзора (при необходимости). Если в результате компрометации могли быть затронуты персональные данные — уведомить регулятора в течение 24 часов. Это требование 152-ФЗ. Отдельный штраф за неуведомление — от 1 до 3 млн рублей.
Фаза 4. Восстановление и предотвращение
Шаг 10. Анализ корневой причины. Как произошла компрометация? Фишинг, слабый пароль, утечка через сторонний сервис? Без понимания причины невозможно предотвратить повторение.
Шаг 11. Обновление правил мониторинга. По результатам расследования — обновить или добавить правила в модуле «Правила» BearPass, чтобы аналогичные события обнаруживались быстрее в будущем.
Шаг 12. Документирование. Зафиксировать хронологию инцидента, принятые меры, результат. Это доказательная база для регулятора и основа для внутреннего аудита.
BearPass
Три инструмента мониторинга в одной системе
Аудит безопасности · Журнал событий · Модуль «Правила» Мониторинг даркнета · Kill Switch · SIEM через syslog On-premise · Реестр РФ №15427 · Шифрование ГОСТ
Мониторинг даркнета: как работает проверка скомпрометированных паролей
Отдельно стоит разобрать технический механизм мониторинга даркнета, потому что у многих специалистов есть вопросы о безопасности самой проверки.
BearPass использует API сервиса HaveIBeenPwned через протокол k-Anonymity. Вот как это работает:
От проверяемого пароля вычисляется SHA1-хеш. Из этого хеша берутся только первые 5 символов и отправляются в API. В ответ приходит список хешей из базы, совпадающих по первым 5 символам — без самих паролей. Полное совпадение хеша проверяется уже внутри BearPass, локально. Пароль в открытом виде никуда не покидает систему.
Это стандартный криптографический протокол k-Anonymity, который гарантирует: даже если передача данных будет перехвачена, извлечь из неё информацию о конкретном пароле невозможно.
Проверку можно отключить в настройках программы — но делать это не рекомендуется. Мониторинг скомпрометированных паролей является одним из наиболее эффективных механизмов раннего обнаружения, особенно для паролей, которые сотрудники могут использовать в нескольких системах.
Связь мониторинга с требованиями регуляторов
Правильно выстроенный мониторинг компрометации — это не только про безопасность. Это про соответствие требованиям и про готовность к проверкам.
ФСТЭК, приказы №17 и №21. Мера РСБ.1 требует обнаружения фактов несанкционированного доступа и реагирования на инциденты. Мера ИАФ.1 требует реагирования при признаках компрометации аутентификационных данных. Настроенный модуль «Правила» с уведомлениями при нетипичных событиях — это техническая реализация этих требований.
152-ФЗ, статья 19. Оператор персональных данных обязан обнаруживать факты несанкционированного доступа к персональным данным. Мониторинг через журнал событий и аудит безопасности закрывает это требование.
Судебная практика 2025–2026 годов. Дела РЖД и «Инвестиционных проектов» показали: компании, которые могут документально подтвердить наличие технических мер и принятые действия по реагированию, получают существенно лучшие исходы при рассмотрении. Журнал событий BearPass с сохранением до бессрочного хранения — это документальная база, которую можно предъявить регулятору.
24 часа на уведомление. После обнаружения инцидента с персональными данными — уведомить Роскомнадзор в течение суток. Штраф за нарушение этого срока — от 1 до 3 млн рублей, это отдельный состав правонарушения. Быстрое обнаружение через автоматические уведомления и чёткий алгоритм реагирования — единственный способ выдержать этот дедлайн.
Чеклист: система мониторинга компрометации
Чеклист настройки системы мониторинга
✅
Аудит безопасности включён — проверка слабых, старых и скомпрометированных паролей в реальном времени
✅
Мониторинг даркнета активирован — автоматическая проверка паролей по базам HaveIBeenPwned
✅
Журнал настроен на бессрочное или минимум 6-месячное хранение
✅
Настроено правило уведомления при просмотре паролей от критических систем
✅
Настроено правило уведомления при любом экспорте данных
✅
Настроено правило уведомления при изменении прав доступа к чувствительным папкам
✅
Настроена интеграция с SIEM через syslog для корреляции событий
✅
Задокументирован алгоритм реагирования: кто, что и в какой последовательности делает при обнаружении инцидента
✅
Назначен ответственный за уведомление Роскомнадзора — понятно кто и как должен отправить уведомление в течение 24 часов
Итог
Мониторинг компрометации учётных записей — это не разовая проверка и не плановый аудит раз в квартал. Это постоянно работающая система из трёх уровней: проактивная проверка паролей по базам утечек, автоматические уведомления при аномальных событиях и реактивный журнал для расследования.
В BearPass все три уровня реализованы: аудит безопасности с мониторингом даркнета работает постоянно, модуль «Правила» уведомляет в реальном времени, журнал событий сохраняет полную хронологию для расследования и регулятора.
Разрыв между компрометацией и обнаружением — это то, что определяет масштаб ущерба. Правильно выстроенная система сокращает его с недель до минут.
BearPass — корпоративный менеджер паролей
Выявляйте компрометацию доступов до того как она станет инцидентом
Аудит безопасности · Мониторинг даркнета · Модуль «Правила» · Kill Switch Журнал событий · SIEM · On-premise · Реестр РФ №15427 · Шифрование ГОСТ
Как понять, что корпоративная учётная запись скомпрометирована? Основные признаки: авторизации с нетипичных IP-адресов, вход с двух разных точек в течение короткого времени, активность в нерабочие часы, резкий рост числа просмотренных паролей, попытки экспорта данных, изменение прав доступа без запроса, пароль обнаружен в базах публичных утечек.
Что делать при обнаружении скомпрометированной учётной записи? Алгоритм: применить Kill Switch — завершить все сессии, заблокировать учётную запись, сохранить журнал событий, сменить скомпрометированные пароли, провести расследование масштаба, при наличии персональных данных — уведомить Роскомнадзор в течение 24 часов.
Что такое мониторинг даркнета для корпоративных паролей? Автоматическая проверка паролей по базам публичных утечек через протокол k-Anonymity. В BearPass пароль не передаётся в открытом виде — только первые 5 символов SHA1-хеша. Совпадение с базой проверяется локально внутри системы.
Как настроить автоматические уведомления о подозрительной активности? В BearPass — через модуль «Правила» в разделе Администрирование. Выбираете триггер (просмотр пароля, экспорт, авторизация), задаёте условия через конструктор с операторами И/ИЛИ, выбираете действие — уведомление на email или блокировка операции.
Обязательно ли уведомлять Роскомнадзор при компрометации? Да, если инцидент затронул персональные данные. 152-ФЗ обязывает уведомить регулятора в течение 24 часов с момента обнаружения. Штраф за нарушение срока — от 1 до 3 млн рублей, это отдельный состав правонарушения.