Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r. – część 5: Wykrywanie tożsamości

Przeciwnicy coraz częściej wykorzystują ważne konta, słabe uwierzytelnianie i nieprawidłowo skonfigurowane systemy tożsamości, aby ominąć tradycyjne zabezpieczenia.

Tożsamość jako główny wektor ataku

Raport ujawnia, że:

71% wszystkich interaktywnych włamań wiązało się z nadużyciem ważnych kont

68% ataków opartych na tożsamości ominęło MFA, często wykorzystując kradzież tokenów sesji

Naruszenie tożsamości pozwala przeciwnikom na poruszanie się w sieci i wtopienie się w normalne zachowania użytkowników.

Przeciwnicy tacy jak Scattered Spider specjalizują się w socjotechnice pomocy technicznej — nakłaniają zespoły wsparcia do zresetowania MFA, a następnie szybko rejestrują nieautoryzowane urządzenia. Po uzyskaniu dostępu poruszają się po SaaS, punktach końcowych i chmurze, korzystając z legalnych poświadczeń.

Wykrywanie nadużyć tożsamości

Nadużycia tożsamości rzadko pojawiają się wyłącznie w punktach końcowych. Wymagają one raczej korelacji sygnałów między domenami:

Punkt końcowy: przeciwnicy minimalizują swój ślad, szybko zmieniając punkty końcowe

Systemy tożsamości: zhakowane konta używane poza normalnymi godzinami pracy lub zarejestrowane w nowych urządzeniach MFA.

Chmura: podejrzane tworzenie maszyn wirtualnych, resetowanie MFA lub wyliczanie SSPR ujawniające próby phishingu.

Aplikacje SaaS: nietypowy dostęp do platform takich jak SharePoint, OneDrive lub systemów zarządzania dostępem uprzywilejowanym.

Obrońcy muszą połączyć te sygnały z dzienników, telemetrii tożsamości i aktywności SaaS.

The Rise of Vishing

Identity attacks increasingly start with vishing.

Vishing rose by 442% in late 2024, with record levels persisting into 2025.

Attackers use vishing to impersonate employees or IT staff, tricking help desks into granting access or resetting MFA.

Identity is a critical element of cybersecurity. Attackers know that once they own an account, they can bypass endpoint defenses, move through cloud environments, and access sensitive SaaS platforms without raising alarms.

The speed of groups like Scattered Spider—completing an intrusion chain in under 5 minutes—shows why identity defense must evolve. For defenders, identity hunting is about correlation, tying together endpoint, cloud, SaaS, and IAM activity. Without this measure, organizations may overlook the subtle indicators of an adversary who is already within.

Autor: Sebastian Burgemejster