Почти во всех компаниях обнаружено потенциальное несоблюдение ИБ-политик

Такие данные опубликовала Positive Technologies по итогам анализа результатов пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведенных во втором полугодии 2024-го и первом полугодии 2025 года. Аналитики Positive Technologies изучали отчеты о том, какие киберугрозы обнаружила система PT NAD в ИТ-компаниях, госучреждениях, предприятиях промышленной, финансовой и других отраслей. Выяснилось, что потенциальное несоблюдение политик информационной безопасности было обнаружено в 96% исследуемых организаций. Этот тренд сохраняется на протяжении последних лет.

Так, в 85% компаний используются незащищенные протоколы передачи данных. Сотрудники пересылают учетные данные для аутентификации в открытом виде через протокол HTTP (69% исследуемых организаций), а в половине случаев — через LDAP. Кроме того, используют протоколы SMTP, POP3 и IMAP (35%) для пересылки и получения электронной почты. Так как все перечисленные протоколы не предполагают шифрования информации по умолчанию, при получении доступа к сети злоумышленники могут перехватить и расшифровать передаваемый трафик.

Традиционный вектор проникновения злоумышленников в инфраструктуру компаний — вредоносное ПО — также присутствует в трафике российских компаний. Следы ВПО обнаружены в трафике 46% организаций. Чаще всего встречаются вредоносы для майнинга криптовалюты, которые попадают на устройства вместе с бесплатными программами, через другие зараженные устройства или в ходе массовой эксплуатации уязвимостей. Также в трафике компаний присутствуют следы активности вредоносных резидентных прокси. Они, в свою очередь, продают трафик зараженных устройств через прокси-сервисы. Такие программы интересуют как легальные структуры, к примеру рекламные агентства, так и киберпреступников.

В трафике исследуемых организаций присутствует и шпионское ПО (16%): обнаружены следы Snake Keylogger, Agent Tesla, FormBook и RedLine — многофункциональных вредоносов для кражи данных, перехвата нажатия клавиш, снятия скриншотов и сбора системной информации. Среди ВПО для удаленного доступа встречались троян Remcos RAT (для полного контроля зараженных Windows-систем), а также SpyNote (для Android-устройств). Как и годом ранее, эксперты выявили активность нашумевшего еще в 2017 году шифровальщика WannaCry, что говорит о низком уровне ответственности подразделений ИБ и ИТ в компаниях.

В трафике всех исследуемых компаний зафиксированы попытки эксплуатации давно известных уязвимостей. Наиболее показательные примеры — уязвимости роутеров Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051), о которых стало известно еще семь и десять лет назад соответственно. Такая ситуация объясняется широким распространением ботнетов, а также устаревшего оборудования и ПО, в частности продуктов, для которых уже не выпускаются обновления.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!