Специалисты Positive Technologies изучили результаты пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведённых во второй половине 2024-го и первой половине 2025 года. В результате были получены данные о различных угрозах ИБ, часто встречающихся в корпоративных сетях компаний из России и стран СНГ.
Эксперты констатировали, что потенциальное несоблюдение политик информационной безопасности было обнаружено в 96% исследованных ИТ-компаний, госучреждений, а также предприятий промышленной, финансовой и других отраслей. Так, в 85% организаций используются незащищённые протоколы передачи данных. Сотрудники пересылают учётные данные для аутентификации в открытом виде через HTTP (69% кейсов), а в половине случаев — через LDAP. Кроме того, применяются протоколы SMTP, POP3 и IMAP для пересылки и получения электронной почты (35%). Все они не предполагают шифрования информации по умолчанию, поэтому при получении доступа к сети преступники могут перехватить и расшифровать передаваемые сведения.
«Злоумышленникам достаточно незначительной бреши в защите компании, чтобы начать кибератаку. При этом на старте зловредная активность может практически не отличаться от стандартных действий сотрудников. Чтобы аналитик SOC мог за считанные минуты отличить легитимную активность от хакерской, необходимо использовать продвинутые системы поведенческого анализа сетевого трафика для обнаружения скрытых кибератак, такие как PT NAD», — прокомментировал ситуацию руководитель исследовательской группы Positive Technologies Фёдор Чунижеков.
Традиционный вектор проникновения злоумышленников в корпоративную инфраструктуру — вредоносное ПО — также присутствует в трафике российских компаний. Его следы обнаружены у 46% организаций. Чаще всего встречаются вредоносы для майнинга криптовалюты (82%), которые попадают на устройства вместе с бесплатными программами. Замечено и шпионское ПО (16%) — Snake Keylogger, Agent Tesla, FormBook и RedLine. Оно предназначено для кражи данных, перехвата нажатия клавиш, снятия скриншотов и сбора системной информации.
Чтобы повысить защиту компаний от киберугроз, Positive Technologies советует внедрять правила кибергигиены. Например, для снижения риска атак использовать защищённые протоколы передачи данных — HTTPS, SLDAP, Kerberos, SFTP и SSH, а для почтовых клиентов и серверов — TLS. Также необходимо наладить процесс управления уязвимостями и активами с помощью продуктов классов Vulnerability Management и Asset Management. Для защиты от зловредов следует использовать песочницу, а для конечных устройств — системы предотвращения массовых и сложных целенаправленных кибератак.
Усам Оздемиров
