Positive Technologies: 85% компаний используют незащищенные протоколы передачи данных

Специалисты Positive Technologies изучили результаты пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведенных во втором полугодии 2024-го и первом полугодии 2025 года. Согласно данным, чаще всего в корпоративных сетях компаний России и стран СНГ встречались следующие угрозы ИБ: попытки эксплуатации уязвимостей на периметре, активность вредоносного ПО, а также потенциальные нарушения регламентов информационной безопасности, в том числе использование незащищенных протоколов передачи данных.

Аналитики Positive Technologies изучали отчеты о том, какие киберугрозы обнаружила система PT NAD в ИТ-компаниях, госучреждениях, предприятиях промышленной, финансовой и других отраслей. Выяснилось, что потенциальное несоблюдение политик информационной безопасности было обнаружено в 96% исследуемых организаций. Этот тренд сохраняется на протяжении последних лет.

Так, в 85% компаний используются незащищенные протоколы передачи данных. Сотрудники пересылают учетные данные для аутентификации в открытом виде через протокол HTTP (69% исследуемых организаций), а в половине случаев — через LDAP. Кроме того, используют протоколы SMTP, POP3 и IMAP (35%) для пересылки и получения электронной почты. Так как все перечисленные протоколы не предполагают шифрования информации по умолчанию, при получении доступа к сети злоумышленники могут перехватить и расшифровать передаваемый трафик.

«Злоумышленникам достаточно незначительной бреши в защите компании, чтобы начать кибератаку. При этом на старте зловредная активность может практически не отличаться от стандартных действий сотрудников. Чтобы аналитик SOC мог за считанные минуты отличить легитимную активность от хакерской, необходимо использовать продвинутые системы поведенческого анализа сетевого трафика для обнаружения скрытых кибератак, такие как PT NAD. Она позволяет точно выявить действия злоумышленников в сети и при оперативном вмешательстве специалистов по ИБ в сжатые сроки остановить кибератаку. Продукт обнаруживает аномалии и сложные угрозы, которые невозможно выявить классическими методами анализа».

Федор ЧунижековРуководитель исследовательской группы Positive Technologies

Традиционный вектор проникновения злоумышленников в инфраструктуру компаний — вредоносное ПО — также присутствует в трафике российских компаний. Следы ВПО обнаружены в трафике 46% организаций. Чаще всего встречаются вредоносы для майнинга криптовалюты (82%), которые попадают на устройства вместе с бесплатными программами, через другие зараженные устройства или в ходе массовой эксплуатации уязвимостей. В трафике 46% компаний присутствуют следы активности вредоносных резидентных прокси. Они, в свою очередь, продают трафик зараженных устройств через прокси-сервисы. Такие программы интересуют как легальные структуры, к примеру рекламные агентства, так и киберпреступников.

В трафике исследуемых организаций присутствует и шпионское ПО (16%): обнаружены следы Snake Keylogger, Agent Tesla, FormBook и RedLine — многофункциональных вредоносов для кражи данных, перехвата нажатия клавиш, снятия скриншотов и сбора системной информации. Среди ВПО для удаленного доступа (13%) встречались троян Remcos RAT (для полного контроля зараженных Windows-систем), а также SpyNote (для Android-устройств). Как и годом ранее, эксперты выявили активность нашумевшего еще в 2017 году шифровальщика WannaCry, что говорит о низком уровне ответственности подразделений ИБ и ИТ в компаниях.

В трафике всех исследуемых компаний зафиксированы попытки эксплуатации давно известных уязвимостей. Наиболее показательные примеры — уязвимости роутеров Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051), о которых стало известно еще семь и десять лет назад соответственно. Такая ситуация объясняется широким распространением ботнетов, а также устаревшего оборудования и ПО, в частности продуктов, для которых уже не выпускаются обновления.

Чтобы повысить защиту компаний от киберугроз, Positive Technologies советует внедрять правила кибергигиены. Например, для снижения риска атак следует использовать защищенные протоколы передачи данных — HTTPS, SLDAP, Kerberos, SFTP и SSH, а для почтовых клиентов и серверов — TLS. Нежелательно использовать средства удаленного доступа, однако если нет возможности избежать этого, то стоит ограничиться одним инструментом, установив строгий контроль и мониторинг его эксплуатации. При этом точно определить, являются ли действия пользователя нелегитимными, и обнаружить их в трафике за считанные минуты помогут продукты класса NTA, NDR.

Кроме того, необходимо наладить процесс управления уязвимостями и активами с помощью продуктов классов vulnerability management и asset management. Обнаруженные бреши нужно оперативно устранять, применяя актуальные обновления и патчи. Рекомендуется следить за сообщениями вендоров об этапах жизненного цикла используемых устройств. Для защиты от ВПО следует использовать песочницу, а для защиты конечных устройств — системы предотвращения массовых и сложных целенаправленных кибератак.