Новости

Positive Technologies: 85% компаний используют незащищенные протоколы передачи данных

Positive Technologies изучила пилотные внедрения системы поведенческого анализа сетевого трафика — PT Network Attack Discovery (PT NAD) — за второе полугодие 2024-го и первое полугодие 2025 года. Согласно результатам анализа, чаще всего в корпоративных сетях компаний России и стран СНГ встречались попытки эксплуатации уязвимостей на периметре, активность вредоносного ПО, а также потенциальные нарушения регламентов информационной безопасности, в том числе использование незащищенных протоколов передачи данных.

Аналитики Positive Technologies исследовали отчеты о том, какие киберугрозы обнаружила система PT NAD в промышленных, финансовых предприятиях, ИТ-компаниях, госучреждениях и др. отраслях. Согласно отчетам, потенциальное несоблюдение политик информационной безопасности было обнаружено в 96% исследуемых организаций. Данный тренд сохраняется на протяжении последних лет.

Так, например, в 85% компаний используются незащищенные протоколы передачи данных. Сотрудники пересылают учетные данные для аутентификации в открытом виде через протокол HTTP (69% исследуемых организаций), а в половине случаев — через LDAP. Также используют протоколы SMTP, POP3 и IMAP (35%) для пересылки и получения электронной почты. Так как все перечисленные протоколы не предполагают шифрования информации, при получении доступа к сети злоумышленники могут перехватить и расшифровать передаваемый трафик.

«Злоумышленникам может быть достаточно незначительной бреши в защите компании для того, чтобы начать кибератаку. При этом на старте зловредная активность может практически не отличаться от стандартных действий сотрудников. Для того, чтобы аналитик SOC мог в считанные минуты отличить легитимную активность от хакерской, необходимо использовать продвинутые системы поведенческого анализа сетевого трафика для обнаружения скрытых кибератак. Такие, как система PT NAD, которая позволяет точно выявить действия злоумышленников в сети и при оперативном вмешательстве ИБ-специалистов в сжатые сроки остановить кибератаку. Продукт обнаруживает аномалии и сложные угрозы, которые невозможно выявить классическими методами анализа».

Федор Чунижеков
Федор ЧунижековРуководитель исследовательской группы Positive Technologies

Традиционный вектор проникновения злоумышленников в инфраструктуру компаний — вредоносное ПО — также присутствует в трафике российских компаний. Следы вредоносного ПО обнаружены в 46% организаций. Чаще всего в трафике встречаются вредоносы для майнинга криптовалюты (82%), которые попадают на устройства вместе с бесплатными программами, через другие зараженные устройства или в ходе массовой эксплуатации уязвимостей. Почти в половине компаний (46%) присутствуют следы активности вредоносных резидентных прокси. Они, в свою очередь, продают трафик зараженных устройств через сервисы-прокси. Такие программы интересуют как легальные структуры, к примеру рекламные агентства, так и киберпреступников.

В трафике исследуемых организаций присутствует и шпионское ПО (16%): обнаружены следы Snake Keylogger, Agent Tesla, FormBook и RedLine — многофункциональных вредоносов для кражи данных, перехвата клавиш, скриншотов и сбора системной информации. Среди ВПО для удаленного доступа (13%) встречались троян Remcos RAT для полного контроля зараженных Windows-систем, а также SpyNote для Android-устройств. Как и годом ранее, эксперты выявили активность нашумевшего еще в 2017 году шифровальщика WannaCry, что говорит о низком уровне ответственности ИБ и ИТ подразделений компаний.

В трафике всех исследуемых компаний зафиксированы попытки эксплуатации давно известных уязвимостей. Наиболее показательные примеры — уязвимости роутеров Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051), о которых стало известно еще семь и десять лет назад соответственно. Такая ситуация объясняется широким распространением устаревшего оборудования и ПО, в частности продуктов, для которых уже не выпускаются обновления.

Для того, чтобы повысить защиту компаний от киберугроз, Positive Technologies советует внедрять правила кибергигиены. Например, для снижения риска атак — использовать защищенные протоколы передачи данных — HTTPS, SLDAP, Kerberos, SFTP, FTPS и SSH, — а для почтовых клиентов и серверов — TLS. Нежелательно использовать средства удаленного доступа, однако если такой возможности нет, лучше ограничиться одним инструментом, установив строгий контроль и мониторинг его эксплуатации. При этом точно определить являются ли действия пользователя в трафике нелегитимными и обнаружить их в трафике за считанные минуты помогут продукты класса NTA/NDR.

Также необходимо наладить процесс управления уязвимостями и активами с помощью продуктов классов Vulnerability Management и Asset Management. Обнаруженные бреши следует оперативно устранять, применяя актуальные обновления и патчи. Рекомендуется следить за сообщениями вендоров об этапах жизненного цикла используемых устройств. Для защиты от ВПО компаниям следует применять песочницы.

Поделиться ссылкой

Может быть интересно