Munkamenet-token: a támadók új csodafegyvere
Alex Philips, az NOV informatikai vezetője rámutatott egy régóta meglévő, kritikus hiányosságra: a munkamenet-tokenek érvénytelenítése általában nem megoldott céges környezetben. Jelszóváltással már nem lehet megállítani a támadókat, azonnali token-visszavonás kell, ha gyanús mozgást észlelnek.
Ez nem beállítási hiba, hanem alapvető architekturális hiányosság: ha valaki egyszer sikeresen autentikál, a munkamenet-token – egyfajta „bérlet” – minden további ellenőrzés nélkül lehetővé teszi a további mozgást. Akinek a kezébe jut, minden jogosultságot örököl, függetlenül attól, hogy eredetileg dolgozó, vagy éppen támadó.
A munkamenet-tokenek ellopása ma a legprofibb támadások első számú belépője. Az e-bűncselekmények átlagos „áttörési” ideje öt perc; a leggyorsabb ilyen támadást 27 másodperc alatt indították, a CrowdStrike friss jelentése szerint pedig 2025-ben az esetek 82 százalékában a támadóknak nem is kellett malware-t használni.
Miért álltak le a támadók a kártevőkkel (malware)?
A támadók rájöttek, hogy a leggyorsabb út a céges rendszerekhez a valódi hozzáférések ellopása, vagy ügyes social engineeringgel megszerzett azonosítók. Egy lopott azonosító nem generál riasztást, és bármelyik alkalmazott jogosultságát örökli. Az MI-alapú támadások jelentősen megkönnyítik ezt: 2024 során a vishing típusú támadások száma 442 százalékkal nőtt, a deepfake visszaéléseké több mint 1300 százalékkal ugrott meg. Az MI-vel gyártott adathalász e-mailek már felérnek a legprofibb emberi csalások szintjére, 54 százalékos átkattintási rátával.
Nem önmagában attól válik veszélyesebbé az MI, hogy egyes támadóknak ad eszközöket: minden támadóhoz eljuttatja a profi social engineering-tudást, szinte nulla költséggel. Az ellopott belépők gyakorlatilag tömegcikké váltak, ipari léptékű csalássá nőtt a támadás.
Nincs gazdája a munkameneteknek – ez vezet a bukáshoz
Egyre nyilvánvalóbb, hogy a vállalatok többsége nem kezeli felelősen a munkamenetek és tokenek életciklusát. A Forbes gyorsjelentése szerint 2026-ra a cégek 30 százaléka nem fogja megbízhatónak tartani pusztán az arcalapú vagy biometrikus azonosítási módszereket az MI-alapú deepfake-ek miatt.
A helyzet súlyosabb, mint sokan gondolnák: egyetlen szakembernek mindenhol látnia kellene, mi történik az identitáskezelőben, a felhőben és az endpointokon, hogy a 29 perces betörési időablak alatt közbe tudjon lépni. De a munkamenetek gazdátlanul sodródnak a céges folyamatok közt – nincs folyamat, nincs büdzsé, nincs egyértelmű felelős.
Ha a támadók MI-vel legyártanak egy hamis identitást, amely gond nélkül átmegy az MFA-n, csakis MI-alapú monitorozással lehet az utólagos mozgásait észrevenni. A védelem ugyanis önbecsapás, ha kizárólag a belépésre korlátozódik – a támadók sokszor a legális kapun át sétálnak be.
Hogyan zárta be az NOV ezt a rést?
Az NOV nulladik lépésként bevezetett egy kötelező feltételes hozzáférési rendszert: minden jogosultságemeléshez, minden érzékeny erőforrás eléréséhez újraellenőrzés kell. Egy személy – vagy akár egy szolgáltatásfiók – sem tud egyedül hitelesítést visszaállítani vagy jelszót módosítani: a jogosultságokat szigorúan elosztották. Ezzel gyakorlatilag kizárták az egyszemélyes „single point of failure” helyzeteket.
Az MI-vel folyamatosan elemzik a logokat, azonosítják a gyanús eseteket, és egy startup segítségével kiépítették a villámgyors munkamenet-token-visszavonást kritikus rendszereikhez. Felismerték, hogy nem lehet többé bízni pusztán hangban, videóban vagy írásban: előre megosztott titkokra és egyedi, csak a felek által ismert kérdésekre van szükség.
Gyakorlati lépések, amiket már ma érdemes megtenni
Érdemes minden privilegizált fióknál, szolgáltatásfióknál, API-kulcsnál lekérni a munkamenet-tokenek élettartamát, és percekre, maximum néhány órára csökkenteni azt. Az API-kulcsokat rotálni kell, ha nincs lejáratuk, az szabad préda.
Szimulálj éles helyzetet: tudjátok-e 5 percen belül visszavonni egy élő támadó munkamenetét? Ha nem, keressétek meg a hiányosság okát. Integráljátok a különböző rendszerek adatait: egy analitikusnak átjárhatóan, egy helyen kell látnia minden gyanús mozgást. Vigyétek tovább a feltételes ellenőrzéseket a rendszer belsejében is: ha egy identitás Houstonból indul, majd 20 perc múlva Bukarestben jelentkezik, lépjen automatikusan életbe újabb ellenőrzés vagy munkamenet-megszakítás.
Az SMS- és push-alapú MFA helyett álljatok át FIDO2-re vagy passkey-re, ahol csak lehet – minden tolakodó értesítés értesítésfárasztásos (push fatigue) támadási lehetőséget jelent a támadóknak. Auditáljátok a hozzáférési folyamatokat, építsetek be out-of-band hitelesítést előre megosztott titkokkal, és különítsétek el az identitásmenedzsmentre fordított költségkeretet.
Philips csapata hónapok alatt, nem évek alatt állt át a valós időben működő munkamenet-token-visszavonásra, lerövidített tokenélettartamokra, újrapozicionált jogosultságokra és MI-alapú logelemzésre. Ez a rés – amit ők bezártak – a legtöbb vállalatnál továbbra is tátong.
A kulcskérdés: ki találja meg előbb ezt a rést – a céged biztonsági csapata, vagy egy támadó, aki 27 másodperc alatt végigrohan rajta?
