В конце 2024 и в начале 2025 года эксперты Positive Technologies начали тестировать систему PT Network Attack Discovery (PT NAD) в ряде организаций. В ходе пилотных проектов получили примечательные результаты: 96% компаний не соблюдают требования безопасности, 46% сталкивается с вредоносными программами. Вместе разбираемся в деталях исследования.
По данным исследователей, в сетях российских и местных компаний наиболее распространены попытки взлома уязвимых мест, атаки вредоносных программ и несоблюдение требований к защите данных, в частности — применение небезопасных способов передачи информации (85%). Например, в 69% случаев сотрудники компаний отправляют логины и пароли через HTTP, в половине — через LDAP, а в 35% для отправки почты используют SMTP, POP3 или IMAP.
Эти протоколы не шифруют информацию, поэтому злоумышленники с доступом к сети могут перехватить и прочитать данные.
Стоит отметить, что даже небольшие недостатки в защите могут привести к утечки важной и конфиденциальной информации. На начальных этапах хакеров можно не отличить от обычных действий персонала, поэтому для быстрой реакции нужны системы анализа поведения в сети. Поможем подобрать самую надежную — напишите нам.
Какие еще данные удалось собрать:
▪️В 46% компаний были обнаружены следы вредоносного ПО.
▪️В трафике 46% компаний обнаружена активность резидентных прокси, которые используют заражённые устройства для продажи трафика через посреднические сервисы.
▪️В 16% организаций выявлено шпионское ПО, включая Snake Keylogger, Agent Tesla, FormBook и RedLine.
▪️В 13% встречались трояны для удалённого доступа Remcos RAT и SpyNote.
Во всех проанализированных организациях обнаружены попытки атак через давно известные слабые места. Особенно часто использовались уязвимости в роутерах Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051). Эксперты считают, что это связано с активным распространением ботнетов и применением устаревших устройств и программного обеспечения, которые больше не поддерживаются производителями.
Базовые правила кибергигиены для повышения уровня защиты организации
▪️Используйте защищенные протоколы передачи данных (HTTPS, SLDAP, Kerberos, SFTP, SSH, TLS).
▪️Ограничьте средства использования удаленного доступа, а также контролируйте
их эксплуатацию.
▪️Внедрите решения классов NTA, NDR, vulnerability management и asset management.
▪️Своевременно устанавливайте обновления, следите за уведомлениями производителей о поддержке устройств.
▪️Используйте sandbox и системы защиты конечных точек для предотвращения целевых атак.