Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    PT XDR

    Решение класса Extended Detection and Response для выявления киберугроз и реагирования на них

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Application Inspector

    Анализатор защищенности приложений

    XSpider

    Сканер уязвимостей

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Прозрачность корпоративных сетей в России, 2020

Прозрачность корпоративных сетей в России, 2020

Дата публикации 9 ноября 2020

Содержание

  • Кто участвовал в опросе
  • Что мы выяснили (кратко)
  • Видимость трафика: в России и за рубежом
    • Как за рубежом?
    • Влияние отрасли на прозрачность трафика
  • Непрозрачность внутренней сети
  • Что должны уметь инструменты анализа трафика
  • Шифрование vs прозрачность сети
  • Выводы
  • Благодарности
Мы провели анонимный опрос среди специалистов по ИБ, чтобы:

  • Узнать, как они оценивают уровень прозрачности корпоративной сети
  • Понять их ожидания от инструментов анализа трафика
  • Сравнить полученные результаты с данными похожего исследования за рубежом компании SANS

Опрос проводился с 27 августа по 14 сентября. Мы разместили его на официальном сайте Positive Technologies, интернет-порталах, посвященных ИБ, социальных сетях, в тематических чатах и каналах в Телеграме. В опросе принял участие 231 специалист.

Кто участвовал в опросе

Какой сектор экономики представляет ваша компания?
Какой сектор экономики представляет ваша компания?
Сколько сотрудников работает в вашей компании?
Сколько сотрудников работает в вашей компании?

Большинство результатов опроса не зависит от размера компании респондентов или меняется незначительно.

Что мы выяснили (кратко)

  1. Российские специалисты по ИБ примерно одинаково оценивают прозрачность корпоративного внешнего и внутреннего трафика. По данным исследования SANS, за рубежом не так: они хуже видят то, что происходит внутри сети, чем то, что на периметре.
  2. За последний год реже всего респонденты замечали во внутреннем трафике горизонтальное перемещение злоумышленников (8%) и активность хакерского инструментария (17%). Вероятно, потому что у большинства специалистов нет подходящих инструментов для их выявления.
  3. Выбирая между шифрованием и прозрачностью внутренней сети, 64% специалистов скорее склоняются в пользу второго.
  4. По мнению участников опроса, наиболее важные задачи, которые должны решать инструменты анализа трафика, — выявление атак внутри сети (88%) и на периметре (86%), обнаружение сетевых аномалий (71%) и контроль соблюдения регламентов ИБ (71%). Это типовые задачи систем класса network traffic analysis, NTA.
  5. Менее приоритетные задачи — расшифровывать зашифрованный трафик и проводить ретроспективный анализ. За это проголосовали 29% и 27% специалистов соответственно.

NTA-системы анализируют трафик и на периметре, и в инфраструктуре. Они автоматически выявляют атаки по большому количеству признаков: от применения хакерского инструментария до отправки данных на сервер злоумышленников.

Видимость трафика: в России и за рубежом

По результатам опроса мы пришли к выводу, что, вероятно, в большинстве российских компаний не хватает инструментов для анализа трафика, покрыты не все сегменты сети или прозрачности мешает шифрование данных. 72% опрошенных оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика так же оценили 68% респондентов.

Как вы оцениваете уровень прозрачности трафика?
Как вы оцениваете уровень прозрачности трафика?

Как за рубежом?

Сравним результаты с мировыми данными. По результатам опроса американской компании SANS, зарубежные ИБ-специалисты в разы лучше видят трафик на периметре, чем тот, что генерится внутри сети.

Уровень прозрачности трафика в зарубежных сетях
Уровень прозрачности трафика в зарубежных сетях

В опросе SANS приняли участие 213 специалистов по ИБ из крупных компаний (минимум 1000 сотрудников) по всему миру. Головные офисы и филиалы компаний расположены в Северной и Южной Америке, Европе, Африке, Австралии и Азии.

Почему 52% зарубежных специалистов считают, что у них высокая прозрачность внешнего трафика на периметре, тогда как в России этим могут похвастать только 24%? По мнению большинства участников NTA- комьюнити в Телеграм, причина столь большой разницы в том, что многие российские компании еще не внедрили IDS, NGFW, UTM, NTA и другие популярные инструменты анализа трафика. Вероятно это связано с тем, что в России меньшие бюджеты на ИБ, чем за рубежом.

Влияние отрасли на прозрачность трафика

Больше других в России видимостью внешнего трафика довольны представители IT и финансовых компаний: высокую прозрачность отметили соответственно 42% и 38% специалистов из таких компаний. Антирейтинг возглавляет промышленный сектор: 36% его представителей считают внешний трафик непрозрачным.

Почти такая же ситуация с прозрачностью внутренней сети. Почти половина представителей IT-компаний (47%) заявили о высоком уровне видимости, а чуть больше половины специалистов промышленных компаний (52%) оценили ее низко.

Непрозрачность внутренней сети

За последний год 51% специалистов по ИБ замечал внутри периметра сканирования внутренней сети и вредоносную активность. Хуже обстоят дела, если злоумышленник перемещался по сети или использовал специальный инструментарий для развития атаки. Только 8% и 17% специалистов обнаруживали такую активность за последний год.

Что из перечисленного вы наблюдали во внутреннем трафике за последний год?
Что из перечисленного вы наблюдали во внутреннем трафике за последний год?

Сканирования сети и активность вредоносного ПО отлавливаются многими средствами безопасности (например, антивирусами или EDR). Вероятно, что опрошенные специалисты выявляли их, не используя системы анализа трафика network traffic analysis, NTA, которые в том числе предназначены для выявления горизонтального перемещения злоумышленников и активности хакерского инструментария.

Специалист экспертного центра безопасности PT ESC показал на вебинаре, как обнаружить горизонтальное перемещение в сети по трафику с помощью NTA-системы PT NAD и как помешать развитию атаки.

СМОТРЕТЬ

Что должны уметь инструменты анализа трафика

Самые высокие оценки по важности получили задачи, связанные с обнаружением угроз. 88% опрошенных специалистов отметили высшими баллами (4 или 5) выявление атак внутри сети, 86% — выявление атак на периметре, 71% — обнаружение сетевых аномалий и такая же доля у контроля соблюдения регламентов ИБ.

Насколько для вас важно выполнять каждую из задач с помощью инструментов анализа трафика?
Насколько для вас важно выполнять каждую из задач с помощью инструментов анализа трафика?

Антирейтинг приоритетных задач возглавляет расшифровка зашифрованного трафика. 29% специалистов оценили ее в 0, 1 или 2 балла. Но это не значит, что специалистам по ИБ неважно, что происходит внутри зашифрованного трафика: 70% специалистов по ИБ крупных компаний хотят видеть в нем вредоносную активность (оценили задачу в 4 и 5 баллов). Это возможно и без расшифровки, анализируя сетевые пакеты.

Также к неприоритетным задачам 27% специалистов отнесли проведение ретроспективного анализа. Мы спросили, что об этом думают участники NTA-комьюнити в Телеграм. Среди причин они назвали не умение некоторых специалистов пользоваться ретроспективным анализом и высокую стоимость серверов для хранения трафика.

Шифрование vs прозрачность сети

64% российских специалистов по ИБ склоняются в сторону прозрачности сети: они оценили свое волнение по поводу шифрования внутреннего трафика в 3, 4 или 5 баллов.

Насколько вас волнует то, что шифрованный трафик внутри инфраструктуры препятствует прозрачности сети?
Насколько вас волнует то, что шифрованный трафик внутри инфраструктуры препятствует прозрачности сети?

Ноль — «мне все равно на прозрачность сети, я за полное шифрование трафика внутри сети»,

Пять — «я предпочту не шифровать трафик, чтобы видеть сеть».

Это почти совпадает с мнением зарубежных коллег: 56,3% опрошенных SANS скорее обеспокоены тем, что шифрование препятствует прозрачности сети (оценили обеспокоенность в 6-10 баллов).

Оценка уровня волнения из-за шифрования трафика
Оценка уровня волнения из-за шифрования трафика

Шифрование внутри корпоративной сети — тема неоднозначная. В некоторых случаях шифрование — необходимо, например, все пароли и электронные письма должны передаваться в шифрованном виде. Но зашифровать весь трафик для многих инфраструктур, в особенности крупных, сложно из-за старого серверного оборудования и специфичного софта. Стоит учитывать, что даже если это получится, то действия злоумышленников тоже окажутся под прикрытием и обнаружить их будет сложнее.

Выводы

  • NTA-системы ждет большое будущее, поскольку компании осознают важность и необходимость мониторинга безопасности внутренней сети. Об этом говорит то, какие задачи для инструментов анализа трафика специалисты по ИБ оценили как наиболее приоритетные.
  • Скорее всего, еще не во всех компаниях используются системы анализа трафика NTA для мониторинга внутренней сети. Мы можем об этом судить по тому, что за прошедший год специалистам удалось выявить внутри периметра.
  • Большинство специалистов не поддерживают идею полного шифрования корпоративной сети, а значит у NTA-систем будет больше возможностей для обнаружения подозрительной активности. Тем, кто все-таки постарается зашифровать все по максимуму, NTA будут полезны в части выявления аномалий и вредоносного ПО.

Благодарности

Спасибо нашим партнерам за поддержку опроса: группе компаний Angara, компаниям «Анлим ИТ», «ДиалогНаука», «Инфосистемы Джет», «Софтлайн Кыргызстан», «Телеком Интеграция», «УЦСБ», «ХОСТ», Axxtel, OCS, TS Solution.

Скачать PDF
Статьи по теме
  • 29 марта 2021 Актуальные киберугрозы: IV квартал 2020 года
  • 14 сентября 2017 Статистика атак на веб-приложения: II квартал 2017 года
  • 3 марта 2021 Топ угроз ИБ в корпоративных сетях, 2021
Поделиться:
Ссылка скопирована
Статьи по теме
19 марта 2018

Автоматизированный анализ кода: статистика уязвимостей веб-приложений за 2017 год

30 марта 2003

Сравнение сканеров безопасности

17 июня 2022

Positive Research 2022

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT XDR
  • PT Industrial Cybersecurity Suite
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • XSpider
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2022.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2022.
  • Сообщить об уязвимости
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта