96% нарушают правила, 46% заражены вредоносами. Как российские компании проваливают кибербезопасность

Positive Technologies сетевой трафик кибератаки вредоносное ПО SOC
96% нарушают правила, 46% заражены вредоносами. Как российские компании проваливают кибербезопасность
Positive Technologies сетевой трафик кибератаки вредоносное ПО SOC

HTTP, майнеры и WannaCry. Positive Technologies проанализировала сети десятков компаний.

image

Positive Technologies представила результаты анализа пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведённых во втором полугодии 2024 года и первом полугодии 2025-го. По данным компании, в корпоративных сетях российских и региональных организаций чаще всего фиксируются попытки эксплуатации уязвимостей, активность вредоносного ПО и нарушения регламентов информационной безопасности — прежде всего использование незащищённых протоколов передачи данных.

Потенциальное несоблюдение политик ИБ обнаружено в 96% исследованных организаций, и эта тенденция сохраняется последние годы. В 85% компаний специалисты выявили применение незащищённых протоколов: в 69% случаев сотрудники передают учётные данные по HTTP, в половине — по LDAP, а в 35% используют SMTP, POP3 и IMAP для пересылки электронной почты. Эти протоколы не обеспечивают шифрование по умолчанию, что позволяет злоумышленникам, получившим доступ к сети, перехватывать и расшифровывать трафик.

В компании отмечают, что даже незначительная уязвимость может стать точкой входа для атаки. На ранних этапах действия злоумышленников зачастую неотличимы от привычных действий сотрудников, поэтому для своевременного выявления атак необходимы системы поведенческого анализа сетевого трафика. По оценке Positive Technologies, использование PT NAD позволяет оперативно отличать легитимную активность от подозрительной и останавливать кибератаки на ранней стадии.

Следы вредоносного ПО были зафиксированы в 46% организаций. Наиболее распространены программы для майнинга криптовалюты (82%), проникающие на устройства через бесплатное ПО, заражённые компьютеры или в результате эксплуатации уязвимостей. В трафике 46% компаний обнаружена активность резидентных прокси, которые используют заражённые устройства для продажи трафика через посреднические сервисы. В 16% организаций выявлено шпионское ПО, включая Snake Keylogger, Agent Tesla, FormBook и RedLine. В 13% встречались трояны для удалённого доступа Remcos RAT и SpyNote. Эксперты также зафиксировали присутствие в сетях вируса-шифровальщика WannaCry, активно распространявшегося ещё в 2017 году.

Во всех исследованных компаниях были зафиксированы попытки эксплуатации старых уязвимостей. Среди наиболее показательных случаев — уязвимости в роутерах Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051). Специалисты связывают это с широким распространением ботнетов и использованием устаревших устройств и программ, для которых производители больше не выпускают обновления.

Для повышения уровня защиты Positive Technologies рекомендует соблюдать базовые правила кибергигиены: применять защищённые протоколы передачи данных (HTTPS, SLDAP, Kerberos, SFTP, SSH, TLS), ограничить использование средств удалённого доступа, контролировать их эксплуатацию, а также внедрять решения классов NTA, NDR, vulnerability management и asset management. Компания также советует своевременно устанавливать обновления, следить за уведомлениями производителей о поддержке устройств, использовать песочницы и системы защиты конечных точек для предотвращения целевых атак.