Эксперты Positive Technologies проанализировали результаты мониторинга сетевой активности в 41 компании, где проводились пилотные проекты по внедрению PT Network Attack Discovery (PT NAD) и комплекса для раннего выявления сложных угроз (PT Anti-APT), в состав которого входит PT NAD 1. В ходе анализа в большинстве компаний была выявлена подозрительная сетевая активность, а вредоносное ПО было обнаружено в каждой государственной и промышленной организации.
По результатам пилотных проектов в 90% компаний была выявлена подозрительная сетевая активность, например сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов. Эксперты отмечают, что использование NTA-систем 2 позволяет не только вовремя обнаружить подозрительные подключения, но и обратиться к истории сетевой активности узла и проверить, не было ли других подобных попыток.
«Переход компаний на удаленную работу повлиял и на сетевую активность: выросла доля подключений во внешнюю сеть по протоколу RDP, — отмечает старший аналитик Positive Technologies Ольга Зиненко. — Такие подключения должны тщательно контролироваться, ведь количество атак через протоколы удаленного доступа в 2020 году увеличилось в три раза».
В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году эксперты столкнулись с активностью 36 семейств вредоносного ПО. Эксперты называют среди них шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex. В 68% анализируемых компаний была выявлена активность вредоносного ПО, при этом ВПО было обнаружено во всех исследуемых государственных и промышленных организациях. В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО.
«Может случиться так, что в момент проведения атаки еще не существовало правил обнаружения угроз и индикаторов компрометации, которые доступны сегодня. Поэтому необходимо проверять трафик не только в режиме реального времени, но и проводить ретроспективный анализ с учетом новой информации, — комментирует Наталия Казанькова, менеджер по продуктовому маркетингу Positive Technologies. — Сохранение копий трафика и повторный его анализ с помощью NTA-системы позволяют провести детальное расследование и обнаружить действия злоумышленника даже для тех событий, которые произошли раньше».
Получите подробные результаты исследования
В отчете — самые популярные нарушения, топ-5 вредоносного ПО и примеры выявленных угроз.
- В выборке представлены только те проекты, заказчики которых дали согласие на исследование результатов мониторинга сетевой активности и их публикацию в обезличенном виде.
- Сокращение от network traffic analysis. Это системы анализа сетевого трафика, которые призваны выявлять атаки внутри инфраструктуры и на периметре организации.