Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Прозрачность корпоративных сетей в России, 2020

Прозрачность корпоративных сетей в России, 2020

Дата публикации 9 ноября 2020

Содержание

  • Кто участвовал в опросе
  • Что мы выяснили (кратко)
  • Видимость трафика: в России и за рубежом
    • Как за рубежом?
    • Влияние отрасли на прозрачность трафика
  • Непрозрачность внутренней сети
  • Что должны уметь инструменты анализа трафика
  • Шифрование vs прозрачность сети
  • Выводы
  • Благодарности
Мы провели анонимный опрос среди специалистов по ИБ, чтобы:

  • Узнать, как они оценивают уровень прозрачности корпоративной сети
  • Понять их ожидания от инструментов анализа трафика
  • Сравнить полученные результаты с данными похожего исследования за рубежом компании SANS

Опрос проводился с 27 августа по 14 сентября. Мы разместили его на официальном сайте Positive Technologies, интернет-порталах, посвященных ИБ, социальных сетях, в тематических чатах и каналах в Телеграме. В опросе принял участие 231 специалист.

Кто участвовал в опросе

Какой сектор экономики представляет ваша компания?
Какой сектор экономики представляет ваша компания?
Сколько сотрудников работает в вашей компании?
Сколько сотрудников работает в вашей компании?

Большинство результатов опроса не зависит от размера компании респондентов или меняется незначительно.

Что мы выяснили (кратко)

  1. Российские специалисты по ИБ примерно одинаково оценивают прозрачность корпоративного внешнего и внутреннего трафика. По данным исследования SANS, за рубежом не так: они хуже видят то, что происходит внутри сети, чем то, что на периметре.
  2. За последний год реже всего респонденты замечали во внутреннем трафике горизонтальное перемещение злоумышленников (8%) и активность хакерского инструментария (17%). Вероятно, потому что у большинства специалистов нет подходящих инструментов для их выявления.
  3. Выбирая между шифрованием и прозрачностью внутренней сети, 64% специалистов скорее склоняются в пользу второго.
  4. По мнению участников опроса, наиболее важные задачи, которые должны решать инструменты анализа трафика, — выявление атак внутри сети (88%) и на периметре (86%), обнаружение сетевых аномалий (71%) и контроль соблюдения регламентов ИБ (71%). Это типовые задачи систем класса network traffic analysis, NTA.
  5. Менее приоритетные задачи — расшифровывать зашифрованный трафик и проводить ретроспективный анализ. За это проголосовали 29% и 27% специалистов соответственно.

NTA-системы анализируют трафик и на периметре, и в инфраструктуре. Они автоматически выявляют атаки по большому количеству признаков: от применения хакерского инструментария до отправки данных на сервер злоумышленников.

Видимость трафика: в России и за рубежом

По результатам опроса мы пришли к выводу, что, вероятно, в большинстве российских компаний не хватает инструментов для анализа трафика, покрыты не все сегменты сети или прозрачности мешает шифрование данных. 72% опрошенных оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика так же оценили 68% респондентов.

Как вы оцениваете уровень прозрачности трафика?
Как вы оцениваете уровень прозрачности трафика?

Как за рубежом?

Сравним результаты с мировыми данными. По результатам опроса американской компании SANS, зарубежные ИБ-специалисты в разы лучше видят трафик на периметре, чем тот, что генерится внутри сети.

Уровень прозрачности трафика в зарубежных сетях
Уровень прозрачности трафика в зарубежных сетях

В опросе SANS приняли участие 213 специалистов по ИБ из крупных компаний (минимум 1000 сотрудников) по всему миру. Головные офисы и филиалы компаний расположены в Северной и Южной Америке, Европе, Африке, Австралии и Азии.

Почему 52% зарубежных специалистов считают, что у них высокая прозрачность внешнего трафика на периметре, тогда как в России этим могут похвастать только 24%? По мнению большинства участников NTA- комьюнити в Телеграм, причина столь большой разницы в том, что многие российские компании еще не внедрили IDS, NGFW, UTM, NTA и другие популярные инструменты анализа трафика. Вероятно это связано с тем, что в России меньшие бюджеты на ИБ, чем за рубежом.

Влияние отрасли на прозрачность трафика

Больше других в России видимостью внешнего трафика довольны представители IT и финансовых компаний: высокую прозрачность отметили соответственно 42% и 38% специалистов из таких компаний. Антирейтинг возглавляет промышленный сектор: 36% его представителей считают внешний трафик непрозрачным.

Почти такая же ситуация с прозрачностью внутренней сети. Почти половина представителей IT-компаний (47%) заявили о высоком уровне видимости, а чуть больше половины специалистов промышленных компаний (52%) оценили ее низко.

Непрозрачность внутренней сети

За последний год 51% специалистов по ИБ замечал внутри периметра сканирования внутренней сети и вредоносную активность. Хуже обстоят дела, если злоумышленник перемещался по сети или использовал специальный инструментарий для развития атаки. Только 8% и 17% специалистов обнаруживали такую активность за последний год.

Что из перечисленного вы наблюдали во внутреннем трафике за последний год?
Что из перечисленного вы наблюдали во внутреннем трафике за последний год?

Сканирования сети и активность вредоносного ПО отлавливаются многими средствами безопасности (например, антивирусами или EDR). Вероятно, что опрошенные специалисты выявляли их, не используя системы анализа трафика network traffic analysis, NTA, которые в том числе предназначены для выявления горизонтального перемещения злоумышленников и активности хакерского инструментария.

Специалист экспертного центра безопасности PT ESC показал на вебинаре, как обнаружить горизонтальное перемещение в сети по трафику с помощью NTA-системы PT NAD и как помешать развитию атаки.

СМОТРЕТЬ

Что должны уметь инструменты анализа трафика

Самые высокие оценки по важности получили задачи, связанные с обнаружением угроз. 88% опрошенных специалистов отметили высшими баллами (4 или 5) выявление атак внутри сети, 86% — выявление атак на периметре, 71% — обнаружение сетевых аномалий и такая же доля у контроля соблюдения регламентов ИБ.

Насколько для вас важно выполнять каждую из задач с помощью инструментов анализа трафика?
Насколько для вас важно выполнять каждую из задач с помощью инструментов анализа трафика?

Антирейтинг приоритетных задач возглавляет расшифровка зашифрованного трафика. 29% специалистов оценили ее в 0, 1 или 2 балла. Но это не значит, что специалистам по ИБ неважно, что происходит внутри зашифрованного трафика: 70% специалистов по ИБ крупных компаний хотят видеть в нем вредоносную активность (оценили задачу в 4 и 5 баллов). Это возможно и без расшифровки, анализируя сетевые пакеты.

Также к неприоритетным задачам 27% специалистов отнесли проведение ретроспективного анализа. Мы спросили, что об этом думают участники NTA-комьюнити в Телеграм. Среди причин они назвали не умение некоторых специалистов пользоваться ретроспективным анализом и высокую стоимость серверов для хранения трафика.

Шифрование vs прозрачность сети

64% российских специалистов по ИБ склоняются в сторону прозрачности сети: они оценили свое волнение по поводу шифрования внутреннего трафика в 3, 4 или 5 баллов.

Насколько вас волнует то, что шифрованный трафик внутри инфраструктуры препятствует прозрачности сети?
Насколько вас волнует то, что шифрованный трафик внутри инфраструктуры препятствует прозрачности сети?

Ноль — «мне все равно на прозрачность сети, я за полное шифрование трафика внутри сети»,

Пять — «я предпочту не шифровать трафик, чтобы видеть сеть».

Это почти совпадает с мнением зарубежных коллег: 56,3% опрошенных SANS скорее обеспокоены тем, что шифрование препятствует прозрачности сети (оценили обеспокоенность в 6-10 баллов).

Оценка уровня волнения из-за шифрования трафика
Оценка уровня волнения из-за шифрования трафика

Шифрование внутри корпоративной сети — тема неоднозначная. В некоторых случаях шифрование — необходимо, например, все пароли и электронные письма должны передаваться в шифрованном виде. Но зашифровать весь трафик для многих инфраструктур, в особенности крупных, сложно из-за старого серверного оборудования и специфичного софта. Стоит учитывать, что даже если это получится, то действия злоумышленников тоже окажутся под прикрытием и обнаружить их будет сложнее.

Выводы

  • NTA-системы ждет большое будущее, поскольку компании осознают важность и необходимость мониторинга безопасности внутренней сети. Об этом говорит то, какие задачи для инструментов анализа трафика специалисты по ИБ оценили как наиболее приоритетные.
  • Скорее всего, еще не во всех компаниях используются системы анализа трафика NTA для мониторинга внутренней сети. Мы можем об этом судить по тому, что за прошедший год специалистам удалось выявить внутри периметра.
  • Большинство специалистов не поддерживают идею полного шифрования корпоративной сети, а значит у NTA-систем будет больше возможностей для обнаружения подозрительной активности. Тем, кто все-таки постарается зашифровать все по максимуму, NTA будут полезны в части выявления аномалий и вредоносного ПО.

Благодарности

Спасибо нашим партнерам за поддержку опроса: группе компаний Angara, компаниям «Анлим ИТ», «ДиалогНаука», «Инфосистемы Джет», «Софтлайн Кыргызстан», «Телеком Интеграция», «УЦСБ», «ХОСТ», Axxtel, OCS, TS Solution.

Скачать PDF
Статьи по теме
  • 5 апреля 2019 Уязвимости онлайн-банков: подводим итоги анализа
  • 19 февраля 2019 Актуальные киберугрозы. IV квартал 2018 года
  • 28 января 2021 Кибербезопасность 2020–2021
Поделиться:
Ссылка скопирована
Статьи по теме
11 июня 2021

Актуальные киберугрозы: I квартал 2021 года

20 апреля 2020

Уязвимости и угрозы мобильных банков

18 марта 2020

Актуальные киберугрозы: итоги 2019 года

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта