Positive Technologies: 85% компаний используют незащищенные протоколы передачи данных
По данным Positive Technologies, чаще всего в корпоративных сетях компаний России и стран СНГ встречались следующие угрозы ИБ: попытки эксплуатации уязвимостей на периметре, активность вредоносного ПО, а также потенциальные нарушения регламентов информационной безопасности, в том числе использование незащищенных протоколов передачи данных.
Специалисты Positive Technologies изучили результаты пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведенных во втором полугодии 2024-го и первом полугодии 2025 года. Изучались отчеты о том, какие киберугрозы обнаружила система PT NAD в ИТ-компаниях, госучреждениях, предприятиях промышленной, финансовой и других отраслей. Выяснилось, что потенциальное несоблюдение политик информационной безопасности было обнаружено в 96% исследуемых организаций. Этот тренд сохраняется на протяжении последних лет.
Так, в 85% компаний используются незащищенные протоколы передачи данных. Сотрудники пересылают учетные данные для аутентификации в открытом виде через протокол HTTP (69% исследуемых организаций), а в половине случаев — через LDAP. Кроме того, используют протоколы SMTP, POP3 и IMAP (35%) для пересылки и получения электронной почты. Так как все перечисленные протоколы не предполагают шифрования информации по умолчанию, при получении доступа к сети злоумышленники могут перехватить и расшифровать передаваемый трафик.
Традиционный вектор проникновения злоумышленников в инфраструктуру компаний — вредоносное ПО — также присутствует в трафике российских компаний. Следы ВПО обнаружены в трафике 46% организаций.
В трафике исследуемых организаций присутствует и шпионское ПО (16%): обнаружены следы Snake Keylogger, Agent Tesla, FormBook и RedLine — многофункциональных вредоносов для кражи данных, перехвата нажатия клавиш, снятия скриншотов и сбора системной информации. Среди ВПО для удаленного доступа (13%) встречались троян Remcos RAT (для полного контроля зараженных Windows-систем), а также SpyNote (для Android-устройств).
В трафике всех исследуемых компаний зафиксированы попытки эксплуатации давно известных уязвимостей. Наиболее показательные примеры — уязвимости роутеров Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051), о которых стало известно еще семь и десять лет назад соответственно. Такая ситуация объясняется широким распространением ботнетов, а также устаревшего оборудования и ПО, в частности продуктов, для которых уже не выпускаются обновления.
Читайте также
