Три из четырёх вторжений в 2024 году обошлись без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения - 62 минуты, рекорд - 51 секунда. Проблема не в стенах, а в дверях: identity стала главным вектором компрометации. Каждая техника из этой карты - рабочий путь внутрь.
Карта атак на identity: навигатор по подтемам
| # | Направление атаки | Подробный разбор |
|---|---|---|
| 1 | Kerberoasting и AS-REP Roasting в Active Directory | Атаки на AD аутентификацию: Kerberoasting и AS-REP Roasting от разведки до детекта |
| 2 | AiTM-фишинг с перехватом сессий | AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena |
| 3 | Обход MFA через OTP, SIM-свопинг и push-усталость | Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость |
| 4 | Пентест Azure AD / Entra ID | Пентест Azure AD: разведка, обход Conditional Access и эскалация привилегий в Entra ID |
| 5 | Аудит AD: LAPS, LLMNR, логирование | Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день |
| 6 | Кража учётных данных через Microsoft Teams | Атаки через Microsoft Teams: кража учётных данных и обход MFA - техники и защита |
Анатомия identity-атаки: 4 уровня от пароля до домена
Атаки на аутентификацию не живут в вакууме. Каждая компрометация identity встраивается в цепочку, где один скомпрометированный фактор открывает путь к следующему. На реальных проектах эта цепочка выглядит так:Уровень 1 - Получение учётных данных. Credential stuffing из утёкших баз, password spraying против корпоративного портала, фишинг с перехватом OTP или покупка логов у infostealer-операторов. Verizon DBIR 2025 фиксирует: 38% подтверждённых утечек связаны с кражей учётных данных.
Уровень 2 - Обход второго фактора. MFA - уже не барьер, а замедлитель. AiTM-прокси вроде Evilginx2 перехватывают сессионные cookie в реальном времени, push-усталость эксплуатирует человеческий фактор, а SIM-свопинг убирает телефон из уравнения целиком.
Уровень 3 - Токены и билеты. OAuth-токены, TGT/TGS-билеты Kerberos, PRT в Azure AD - всё это артефакты, которые после получения работают независимо от пароля и MFA. Pass-the-Ticket, Pass-the-Cookie, token replay - атакующий действует от имени легитимного пользователя без повторной аутентификации.
Уровень 4 - Persistence и domain takeover. Golden Ticket в AD, долгоживущие OAuth refresh tokens, скомпрометированный Identity Provider - атакующий закрепляется так, что сброс пароля жертвы уже ничего не решает.
На внутреннем пентесте с grey box-доступом (выданная доменная учётка с минимальными привилегиями) переход от уровня 1 к уровню 4 занимает от нескольких часов до пары дней - зависит от гигиены AD и зрелости мониторинга. На внешнем пентесте основной барьер - уровень 1, но инфостилеры и утёкшие базы всё чаще снимают и его.
Ключевой сдвиг 2024-2025: атаки на identity перестали быть про пароли. По данным Verizon DBIR 2025, определение «учётные данные» расширилось до JSON Web Tokens, API-ключей, CI/CD-секретов и облачных сервисных аккаунтов. Медианное время исправления утёкшего секрета на GitHub - 94 дня. Три месяца секрет лежит в открытом доступе - и никто не чешется.
Классификация по OWASP A07:2021 (Identification and Authentication Failures) и NIST CSF PR.AA-01 охватывает все четыре уровня. MITRE ATT&CK детализирует каждую технику: от T1558 (Steal or Forge Kerberos Tickets) до T1539 (Steal Web Session Cookie).
Атаки на Kerberos: почему протокол 1993 года до сих пор ломает корпорации
Kerberos остаётся ядром аутентификации в Active Directory. Каждый внутренний пентест начинается с проверки двух вещей: есть ли Kerberoastable-аккаунты и отключена ли преаутентификация. Если хотя бы одно из двух - считай, зацепка есть.Kerberoasting (MITRE ATT&CK T1558.003) - постэксплуатационная техника, не требующая привилегий Domain Admin. Любой аутентифицированный пользователь домена запрашивает у KDC сервисный билет (TGS) для аккаунта с привязанным SPN. Билет зашифрован хэшем пароля сервисной учётки - и этот хэш крекается офлайн. KDC не фиксирует попытку взлома, потому что с его точки зрения произошёл легитимный запрос. Красота.
Контекст применимости: внутренний пентест, grey box (нужна хотя бы одна доменная учётка). Работает на любой версии AD с Kerberos. Инструменты - Impacket
GetUserSPNs.py с Linux и Rubeus с Windows. Крек через Hashcat: mode 13100 для RC4 (быстро), mode 19700 для AES-256 / 19600 для AES-128 (значительно медленнее, порядка 5–10x на современных GPU).AS-REP Roasting (T1558.004) - ещё проще. Для аккаунтов с отключённым флагом
DONT_REQUIRE_PREAUTH KDC возвращает AS-REP без проверки подлинности запроса. Доменная учётка даже не обязательна - достаточно списка имён пользователей. Инструмент - Impacket GetNPUsers.py (запускается с Linux, но целевая техника направлена на Windows-домены; Atomic Red Team тесты для T1558.004 существуют только для Windows), крек через Hashcat mode 18200 (etype 23, RC4-HMAC). В доменах с AES-only политикой AS-REP Roasting значительно медленнее при офлайн-переборе.Golden Ticket и Silver Ticket - техники уровня persistence. Golden Ticket генерируется при наличии хэша аккаунта krbtgt и даёт возможность имперсонировать любого пользователя домена. Silver Ticket уже - нацелен на конкретный сервис. Оба обходят штатную аутентификацию полностью.
Что видит SOC: для Kerberoasting - Event ID 4769 с аномальным количеством запросов TGS и использованием RC4 (etype 0x17) вместо AES. Sigma-правило
win_security_susp_rc4_kerberos.yml детектирует именно это. Для Rubeus - proc_creation_win_hktl_rubeus.yml срабатывает на характерные аргументы процесса.Ограничения против современных защит: EDR-решения (CrowdStrike Falcon, SentinelOne) детектируют запуск Rubeus по сигнатуре бинаря, поэтому на реальных engagements используются кастомные сборки или BOF-модули для Cobalt Strike. Impacket с Linux-хоста за пределами периметра EDR - тише, но требует сетевого доступа к KDC (TCP/88).
Подробный разбор с полным циклом атаки, командами и детектами: Атаки на Active Directory аутентификацию: Kerberoasting и AS-REP Roasting от разведки до детекта
Компрометация OAuth: от Device Flow до token hijacking в SaaS-среде
OAuth token hijacking стал одним из определяющих векторов 2024-2025 года. В отличие от кражи паролей, скомпрометированный OAuth-токен работает независимо от MFA и смены пароля - пока не будет явно отозван. А отзывают его, мягко говоря, не сразу.OAuth Device Flow (RFC 8628) - механизм авторизации для устройств с ограниченным вводом (Smart TV, CLI-инструменты). Атакующий генерирует код устройства, а затем через вишинг или фишинг убеждает жертву ввести этот код на легитимной странице авторизации (например,
login.microsoftonline.com). Жертва проходит полную аутентификацию с MFA - и передаёт атакующему OAuth-токены с запрошенными разрешениями. Всё чисто, всё через штатный провайдер.В 2024-2025 годах vishing-атаки на identity-инфраструктуру проводились несколькими группировками с разными TTP. UNC6040 (отслеживается Mandiant; см. отчёт Google Threat Intelligence Group, 2024) использовала голосовой фишинг с подменой Data Loader для компрометации Salesforce-инстансов. Storm-2372 (отслеживается Microsoft; см. Microsoft Threat Intelligence Blog, февраль 2025) активно применяла OAuth Device Code phishing для получения токенов Microsoft 365, убеждая жертв вводить коды устройств на легитимных страницах авторизации. Среди пострадавших - компании из технологического и авиационного секторов.
Consent phishing - атакующий создаёт вредоносное OAuth-приложение и рассылает ссылку на авторизацию. Когда пользователь нажимает «Разрешить», приложение получает persistent-доступ к данным через API. По данным Obsidian Security (2025 SaaS Security Report), SaaS-интеграции значительно выросли год к году, а среднее предприятие использует сотни SaaS-приложений - каждое создаёт OAuth-токены, API-ключи и вебхуки.
Token theft из браузера или памяти процесса - атакующий извлекает access/refresh tokens из хранилища браузера, localStorage или перехватывает через вредоносное расширение. По данным Obsidian Security (2025 SaaS Security Report), SaaS-утечки значительно выросли в 2024 году, а среднее время компрометации ключевых систем после получения начального доступа оценивается в минуты.
Контекст применимости: внешний пентест (Device Flow, consent phishing) и внутренний (token theft из скомпрометированного хоста). Работает против Microsoft 365, Google Workspace, Salesforce - любого сервиса с OAuth. Для анализа - Burp Suite для перехвата OAuth-флоу, TokenTacticsV2 для Device Code Flow атак.
Что НЕ ловит SOC: стандартный SIEM не видит разницы между легитимным и вредоносным OAuth-авторизацией - оба проходят через штатный провайдер. Для детекта нужен мониторинг OAuth-приложений на уровне Identity Provider и анализ аномалий в использовании токенов. Большинство организаций этого не делают.
5 техник обхода MFA, которые ломают «второй фактор»
MFA блокирует до 99% автоматизированных атак с подбором паролей - об этом говорят и Microsoft, и данные Fortinet. Но целевые атаки на аутентификацию обходят второй фактор полностью. Вот пять рабочих способов.1. Adversary-in-the-Middle (AiTM). Прокси-сервер (Evilginx2, Modlishka, Muraena) встаёт между жертвой и легитимным сайтом. Пользователь вводит логин, пароль, проходит MFA - а прокси перехватывает сессионный cookie. Атакующий использует этот cookie для доступа к аккаунту без повторной аутентификации. Контекст: внешний пентест, red team engagement.
2. Push-усталость (MFA fatigue / MFA bombing). Атакующий, уже имея пароль жертвы, инициирует десятки push-уведомлений подряд. Жертва случайно или намеренно нажимает «Подтвердить», чтобы прекратить поток. Работает против push-based MFA (Microsoft Authenticator, Duo) без number matching. Человеческий фактор в чистом виде.
3. SIM-свопинг. Атакующий через социальную инженерию оператора связи переносит номер жертвы на свою SIM-карту, перехватывая OTP через SMS. Контекст: внешняя атака, требует OSINT на жертву и подготовки с оператором.
4. OTP-перехват в реальном времени. Фишинговая страница запрашивает у жертвы одноразовый код и мгновенно передаёт его атакующему для ввода на настоящем сайте. Отличие от AiTM - здесь перехватывается именно OTP, а не сессия целиком.
5. Theft of session tokens post-MFA. Малварь на хосте жертвы (infostealer) извлекает cookie из браузера уже после прохождения MFA. Токен используется с другой машины. По данным Zero Networks, 54% жертв на сайтах ransomware-вымогателей также появлялись в логах infostealers.
| Техника | Обходит push MFA | Обходит FIDO2/passkey | Требует доступ к хосту |
|---|---|---|---|
| AiTM | Да | Нет | Нет |
| Push-усталость | Да | Нет | Нет |
| SIM-свопинг | SMS-only | Нет | Нет |
| OTP-перехват | Да (TOTP/SMS) | Нет | Нет |
| Token theft | Да | Да (post-auth) | Да |
Единственная техника, противостоящая всем пяти - FIDO2/WebAuthn (аппаратные ключи, passkeys). Microsoft активно продвигает переход на passkeys, но доля внедрения в корпоративном секторе пока остаётся низкой. Все знают, что надо - никто не торопится.
Детальный разбор каждой техники с инструментами:
- AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
- Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
Credential stuffing и infostealers: экономика украденных паролей
Масштаб утёкших учётных данных превращает credential stuffing в индустрию. В базе Have I Been Pwned только утечки Exploit.In (593 427 119 уникальных email-адресов в combo-листе с паролями, по данным HIBP) и LinkedIn (164 млн записей) дают атакующему гигантский словарь. AT&T - ещё 49 млн записей с привязкой к телефонам и документам. И это публичные данные; в даркнет-маркетплейсах объём на порядки больше.Credential stuffing - автоматизированный перебор пар «логин-пароль» из утёкших баз по целевым сервисам. Эффективность определяется привычкой повторного использования паролей. Кампания против инфраструктуры Snowflake в 2024 году - хрестоматийный пример: 165 организаций скомпрометированы через украденные учётные данные из инфостилеров, часть которых была собрана ещё в 2020 году. У пострадавших аккаунтов не было MFA - хватило логина и пароля.
Password spraying - обратная стратегия: один распространённый пароль проверяется по большому списку пользователей. Не вызывает блокировку аккаунтов, потому что каждый аккаунт получает лишь одну попытку. Именно эту технику APT29 (связана с российской СВР) применила для начального доступа к Microsoft в январе 2024 года - password spray скомпрометировал аккаунт в legacy non-production test tenant без MFA. После этого атакующие создали вредоносное OAuth-приложение с правами
full_access_as_app и получили consent от привилегированного корпоративного аккаунта, что дало доступ к почтовым ящикам руководства. Тестовый тенант без MFA - и вот ты читаешь почту CEO.Infostealers - малварь, собирающая из браузера и системы сохранённые пароли, cookie, токены и упаковывающая их в «логи» для продажи. По данным Zero Networks, реклама access-брокеров выросла на 50% год к году. Рынок access-as-a-service работает конвейером: infostealer собирает данные, брокер продаёт доступ, ransomware-оператор монетизирует.
Контекст для пентестера: credential stuffing - техника внешнего пентеста. На этапе OSINT проверяется наличие утёкших кредов через публичные источники. Password spraying применяется как против внешних порталов (OWA, VPN, Citrix), так и внутри домена. Инструменты -
kerbrute для Kerberos-based spraying, CrackMapExec для SMB, Hydra для веб-форм.Защита: MFA обязателен, но, как показано выше, сам по себе недостаточен. Мониторинг аномальных входов, Conditional Access-политики по геолокации и устройству, проактивная проверка корпоративных кредов в утечках - минимальный стек.
Pass-the-Hash и Pass-the-Ticket: атаки на NTLM в 2025 году
NTLM - протокол, который Microsoft пытается похоронить уже десятилетие, но он до сих пор живёт в большинстве корпоративных сред. В legacy-инфраструктурах (Windows Server 2012-2016, приложения без поддержки Kerberos) NTLM остаётся основным механизмом аутентификации. Не потому что хорош - потому что отключение сломает десяток приложений, о которых знает только один человек.Pass-the-Hash (PtH) - атакующий извлекает NTLM-хэш из памяти процесса
lsass.exe (Mimikatz, sekurlsa::logonpasswords) или из базы SAM и использует его напрямую для аутентификации на удалённых сервисах. Пароль в открытом виде не нужен - хэш эквивалентен паролю в NTLM-аутентификации. Это слабость протокола по дизайну: хэши передаются без salt и остаются неизменными до смены пароля.Pass-the-Ticket (PtT) - аналог для Kerberos. Атакующий извлекает TGT или TGS из памяти и использует их на другом хосте. Если извлечён TGT - доступ ко всем сервисам, для которых билет валиден. Rubeus
triage и dump покажут все кэшированные билеты на хосте.NTLM Relay - атакующий перехватывает NTLM-аутентификацию (например, через LLMNR/NBT-NS poisoning в локальной сети) и ретранслирует её на целевой сервис. Инструмент - Impacket
ntlmrelayx.py. Работает против сервисов без подписи SMB (SMB signing disabled) - а это до сих пор встречается в каждом втором домене на внутреннем пентесте.Контекст: все три техники - внутренний пентест и lateral movement. Требуют либо доступ к хосту (для извлечения хэшей/билетов), либо позицию в локальной сети (для relay). Против modern-инфраструктуры с Credential Guard, SMB signing, отключённым NTLM и включённым LAPS классические PtH-атаки существенно ограничены. Но таких «modern-инфраструктур» в дикой природе - единицы.
Что детектирует SOC: Event ID 4624 (тип входа 3 или 9 при PtH), Event ID 4648 (explicit credentials), аномальные паттерны входа с одного хоста на множество. Для NTLM relay - Event ID 4624 с source IP, не соответствующим клиенту.
Как проверить устойчивость AD к этим атакам за один рабочий день - детально разобрали в гайде: Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Атаки на SSO и Identity Provider: Azure AD, SAML и Entra ID
Single Sign-On - удобство, которое атакующий конвертирует в масштаб: одна скомпрометированная учётка IdP открывает доступ ко всем подключённым приложениям. Компрометация одного компонента даёт горизонтальный доступ ко всему хозяйству.SAML-атаки. Если атакующий получает приватный ключ подписи SAML-assertion (compromise IdP), он может генерировать токены для любого пользователя любого подключённого сервиса. Классический пример - техника Golden SAML, применённая в кампании SolarWinds/Nobelium 2020 года: атакующие извлекли token-signing certificate из ADFS и подделывали произвольные SAML-assertions (T1606.002).
Pass-the-PRT (Primary Refresh Token) - в Azure AD/Entra ID PRT используется для SSO на устройствах, присоединённых к Azure AD. Извлечение PRT с хоста (через
ROADtools, AADInternals) позволяет атакующему получить access tokens для Microsoft 365, Azure Portal и любого приложения, интегрированного через Entra ID - с обходом Conditional Access-политик, привязанных к устройству.Обход Conditional Access - политики CA определяют условия входа: геолокация, тип устройства, уровень риска. На пентесте Azure AD обход CA - ключевая задача: использование compliant device (через PRT), манипуляция с User-Agent для имитации доверенного клиента, эксплуатация исключений для legacy-протоколов.
Контекст: атаки на SAML - сценарий компрометации on-premise IdP (ADFS) или утечки ключа. Pass-the-PRT - внутренний пентест с доступом к Azure AD-joined хосту. Обход CA - как внешний, так и внутренний пентест.
Ограничения: Continuous Access Evaluation (CAE) в Entra ID сокращает окно использования украденных токенов. PIM (Privileged Identity Management) требует явной активации привилегированных ролей. FIDO2-ключи привязаны к домену и не подвержены фишингу.
Полный пошаговый разбор от разведки до эскалации: Пентест Azure AD: разведка, обход Conditional Access и эскалация привилегий в Entra ID
Корпоративные мессенджеры и SaaS-интеграции: новый identity-периметр
В январе 2024 года APT29 скомпрометировала почтовые ящики руководства Microsoft не через сетевую атаку, а через legacy OAuth-приложение в тестовом тенанте. Ни одного zero-day, ни одного вредоносного бинарника - только токены и доверие между приложениями.По данным Obsidian Security, среднее предприятие использует 342 SaaS-приложения. Каждая интеграция создаёт OAuth-токены, API-ключи, сервисные аккаунты и вебхуки. При этом 46% организаций не могут мониторить нечеловеческие идентификаторы (сервисные аккаунты, API-токены), а 56% обеспокоены избыточными правами API-доступа. Именно эти «слепые зоны» между SaaS-приложениями атакующие называют «скрытым слоем».
Microsoft Teams как вектор атаки. Teams объединяет чат, файловый обмен и OAuth-интеграции в единой среде. Вектора компрометации: отправка вредоносных вложений через external messaging (если разрешён), tab-инъекции с OAuth consent phishing, кража токенов из кэша Teams-клиента на скомпрометированном хосте. Токены Teams-сессии - те же Azure AD-токены, и их компрометация даёт доступ к SharePoint, OneDrive и всему тенанту.
Масштабирование через SaaS supply chain. Одна скомпрометированная OAuth-интеграция каскадирует на все подключённые приложения. Пример: компрометация аккаунта в Salesforce через OAuth Device Flow даёт доступ не только к CRM-данным, но и к подключённым маркетинговым платформам, аналитике и внутренним дашбордам. Одна дверь - десять комнат.
Machine identities - сервисные аккаунты, API-токены, workload identities - составляют по оценкам Zero Networks более 70% всех идентификаторов в сети. При этом только 2,6% разрешений workload identity реально используются, а 51% полностью неактивны. Каждый неактивный, но привилегированный сервисный аккаунт - готовый вектор для атаки на аутентификацию.
Детальный разбор техник атак через Teams с примерами и защитными мерами: Атаки через Microsoft Teams: кража учётных данных и обход MFA - техники и защита
Как SOC детектирует атаки на аутентификацию: Sigma, Event ID и D3FEND
Каждая техника из этой карты оставляет следы. Вопрос - настроен ли мониторинг на их обнаружение. По OWASP A09:2021 (Security Logging and Monitoring Failures), без адекватного логирования утечки просто не обнаруживаются. Логи есть, но их никто не читает - знакомая история.Event ID для Kerberos-атак:
- 4769 (TGS Request) - массовые запросы TGS с RC4-шифрованием (etype 0x17) от одного пользователя - маркер Kerberoasting. Нормальный пользователь запрашивает 2-5 TGS за сессию, Kerberoasting-скрипт - десятки за секунды.
- 4768 (TGT Request) - запросы без преаутентификации - маркер AS-REP Roasting.
- 4771 (Kerberos Pre-Authentication Failed) - password spraying против Kerberos.
- 4624 тип 3 (Network) на целевом хосте - маркер PtH через psexec/wmiexec и PtT. Тип 9 (NewCredentials) на исходном хосте - маркер Mimikatz
sekurlsa::pthилиrunas /netonly.
win_security_susp_rc4_kerberos.yml- детектирование аномального RC4 в Kerberos-трафикеproc_creation_win_hktl_rubeus.yml- запуск Rubeus по характерным аргументамzeek_susp_kerberos_rc4.yml- детектирование на сетевом уровне через Zeekproc_creation_win_setspn_spn_enumeration.yml- перечисление SPN черезsetspn.exe
- D3-PMAD (Protocol Metadata Anomaly Detection) - выявление аномалий в Kerberos-трафике
- D3-CCSA (Credential Compromise Scope Analysis) - оценка масштаба компрометации учётных данных
- D3-DUC (Decoy User Credential) - приманочные аккаунты для раннего обнаружения Kerberoasting
- D3-CH (Credential Hardening) - усиление паролей сервисных аккаунтов
Как построить мониторинг за один день - разобрали в практическом гайде: Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Выбор вектора атаки на identity: decision tree для пентестера
На реальном проекте вопрос не «какие атаки на аутентификацию существуют», а «какой вектор сработает в конкретной среде». Выбор определяется тремя факторами: тип доступа, тип инфраструктуры и зрелость защиты.Куда движется identity security: прогноз и тактические рекомендации
Тренд однозначен: identity - это новый периметр, и он продолжит размываться. Рост vishing-атак на 442% между первым и вторым полугодием 2024 года, удвоение использования GenAI для социальной инженерии, взрыв infostealers и access-as-a-service - барьер входа для атак на аутентификацию снижается с каждым кварталом.В ближайший год: массовое применение AI для генерации контекстного фишинга (IBM X-Force фиксирует генерацию фишинговых писем с помощью GenAI в 11,4 раза быстрее при сопоставимом качестве); рост атак через OAuth Device Flow по мере того, как группировки вроде ShinyHunters масштабируют свои playbook; и дальнейшая эрозия MFA как надёжного барьера.
Что делать прямо сейчас: переход на FIDO2/passkeys для критичных аккаунтов, аудит всех OAuth-приложений в тенанте, мониторинг Kerberos RC4-запросов. И главное - прекратить считать пароль + SMS «многофакторной» аутентификацией. Это самообман, который стоит дорого.
Хотите отработать все техники из этой карты в легальной лабораторной среде - от Kerberoasting до обхода MFA? На курсах Codeby Academy по пентесту и red team вы пройдёте полный цикл атаки на identity-инфраструктуру с реальными AD-доменами и облачными тенантами.
Большинство организаций, с которыми я сталкиваюсь на пентестах, убеждены, что MFA - это решённая проблема. Включили push-уведомления, закрыли Conditional Access-политики, провели обучение сотрудников - и вычеркнули identity из списка рисков. А потом на red team engagement мы за пару часов получаем Domain Admin через Kerberoastable-сервисную учётку с паролем
Summer2019!, которая живёт в AD с момента миграции с Windows Server 2008. Или проходим MFA через AiTM, потому что push без number matching - это не фактор, а галочка в аудиторском отчёте.Проблема глубже конкретных техник. Identity-инфраструктура в корпорациях строилась по принципу «сначала заработает, потом защитим» - и «потом» всё не наступает. NTLM работает, потому что отключение сломает десяток legacy-приложений, о которых знает только один человек (и тот уволился). OAuth-интеграции множатся, потому что каждый отдел подключает свои SaaS без ведома ИБ. Сервисные аккаунты не ротируются, потому что никто не знает, что именно сломается.
Через год-два identity-атаки разделятся окончательно: дешёвые массовые (infostealers + credential stuffing, AI-фишинг) и дорогие целевые (OAuth Device Flow + vishing, как у ShinyHunters). Первые будет сдерживать FIDO2, вторые - только зрелый SOC с SSPM и поведенческим анализом. Между этими полюсами окажутся компании, которые вложились в базовый MFA и остановились. Именно они станут массовой жертвой ближайших лет - потому что «у нас есть MFA» звучит убедительно на совещании, но ничего не значит при атаке.
