Positive Technologies, основываясь на отчетах об использовании PT Network Attack Discovery (PT NAD)[1], назвала угрозы информационной безопасности, чаще всего встречающиеся в российских компаниях.
В 76% организаций присутствует вредоносное и рекламное программного обеспечение (ПО), в каждой третьей компании используются популярные у злоумышленников инструменты и техники: дистрибутив Kali Linux, инструменты для перемещения внутри периметра и (или) повышения привилегий, а также для разведки внутри сети.
Согласно результатам исследования, потенциально вредоносная активность была замечена в 97% компаний, что превышает показатели прошлых лет (90% — в 2021 году, 93% — в 2022 году). Команда по расследованию инцидентов Positive Technologies (PT ESC) также подтверждает, что в целом сеть всех компаний исследуется в режиме нон-стоп, а хакеры предпринимают попытки проникнуть внутрь организаций.
Хакеры создают бэкдоры для получения постоянного доступа к сети организации, проводят эксфильтрацию данных и взаимодействуют со скомпрометированной инфраструктурой при помощи привычных легитимных средств для удаленного управления.
Согласно аналитике, также наблюдается рост доли организаций, в сети которых обнаружены признаки присутствия вредоносного ПО. В 2021 году эта доля составляла 68%, в 2022 году — 70%, а в 2023-м — 76%. В инфраструктуре 39% компаний обнаружены следы присутствия программ для майнинга криптовалюты — такое вредоносное ПО специалисты находили чаще всего. Была заметна и активность шифровальщиков: они обнаружены в 18% проектов, причем во всех этих случаях зафиксировано семейство WannaCry. Нашумевший еще в 2017 году вирус-шифровальщик продолжает существовать в сетях компаний, что говорит о низком уровне информационной безопасности.
В российских организациях, как и в 2023 году, злоумышленники пытаются эксплуатировать уязвимости. Чаще всего использовалась CVE-2021-44228 (Log4Shell). Ошибка, затронувшая такие проекты, как iCloud, Minecraft, Steam, была обнаружена 24 ноября 2021 года. Рекомендации по ее устранению выпущены в декабре того же года, но в сети до сих пор могут находиться устройства без установленных обновлений безопасности. Уязвимость CVE-2021-4177 в Apache HTTP Server версии 2.4.49 также популярна среди злоумышленников.
На третьем месте оказалась CVE-2017-0144, которую эксплуатирует упомянутый выше вирус-шифровальщик WannaCry. Вовремя обнаружить уязвимые версии ПО помогут продукты класса VM (vulnerability management).
Третий год подряд сохраняется тенденция к нарушению регламентов информационной безопасности. Во всех пилотных проектах обнаружены такие нарушения, как передача учетных данных в открытом виде или использование программ для удаленного доступа, а также слабых паролей (словарных комбинаций или паролей из обычных слов или фраз). Преступники могут использовать эти недостатки для начала кибератаки.
Составить полную картину происходящего в трафике и обнаружить даже сложные киберугрозы (использование SSH-туннелей[2], перемещение внутри инфраструктуры, атаки типа NTLM Relay) могут продукты класса NTA — network traffic analysis. К ним относится PT NAD, система поведенческого анализа трафика. Опираясь на полученную информацию, оператор SOC может вовремя остановить кибератаку».
PT NAD позволяет компаниям получать полное представление о состоянии сетевой инфраструктуры, выявлять уязвимости и слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ атак. Еще больше узнать о возможностях продукта в части детектирования современных киберугроз вы сможете 24 сентября на митапе NetCase Day, который проводит Positive Technologies.
[1] Исследование сделано на основе данных пилотных проектов PT NAD и комплекса PT Anti-APT (в состав которого входит PT NAD) за 2023-й и первое полугодие 2024 года в 38 компаниях. Организации дали согласие на анализ результатов. Все данные обезличены.
[2] Передача данных в зашифрованном виде с помощью SSH (Secure Shell) — протокола для удаленного управления операционной системой с помощью командной строки.
В 76% организаций присутствует вредоносное и рекламное программного обеспечение (ПО), в каждой третьей компании используются популярные у злоумышленников инструменты и техники: дистрибутив Kali Linux, инструменты для перемещения внутри периметра и (или) повышения привилегий, а также для разведки внутри сети.
Согласно результатам исследования, потенциально вредоносная активность была замечена в 97% компаний, что превышает показатели прошлых лет (90% — в 2021 году, 93% — в 2022 году). Команда по расследованию инцидентов Positive Technologies (PT ESC) также подтверждает, что в целом сеть всех компаний исследуется в режиме нон-стоп, а хакеры предпринимают попытки проникнуть внутрь организаций.
Хакеры создают бэкдоры для получения постоянного доступа к сети организации, проводят эксфильтрацию данных и взаимодействуют со скомпрометированной инфраструктурой при помощи привычных легитимных средств для удаленного управления.
Согласно аналитике, также наблюдается рост доли организаций, в сети которых обнаружены признаки присутствия вредоносного ПО. В 2021 году эта доля составляла 68%, в 2022 году — 70%, а в 2023-м — 76%. В инфраструктуре 39% компаний обнаружены следы присутствия программ для майнинга криптовалюты — такое вредоносное ПО специалисты находили чаще всего. Была заметна и активность шифровальщиков: они обнаружены в 18% проектов, причем во всех этих случаях зафиксировано семейство WannaCry. Нашумевший еще в 2017 году вирус-шифровальщик продолжает существовать в сетях компаний, что говорит о низком уровне информационной безопасности.
В российских организациях, как и в 2023 году, злоумышленники пытаются эксплуатировать уязвимости. Чаще всего использовалась CVE-2021-44228 (Log4Shell). Ошибка, затронувшая такие проекты, как iCloud, Minecraft, Steam, была обнаружена 24 ноября 2021 года. Рекомендации по ее устранению выпущены в декабре того же года, но в сети до сих пор могут находиться устройства без установленных обновлений безопасности. Уязвимость CVE-2021-4177 в Apache HTTP Server версии 2.4.49 также популярна среди злоумышленников.
На третьем месте оказалась CVE-2017-0144, которую эксплуатирует упомянутый выше вирус-шифровальщик WannaCry. Вовремя обнаружить уязвимые версии ПО помогут продукты класса VM (vulnerability management).
Третий год подряд сохраняется тенденция к нарушению регламентов информационной безопасности. Во всех пилотных проектах обнаружены такие нарушения, как передача учетных данных в открытом виде или использование программ для удаленного доступа, а также слабых паролей (словарных комбинаций или паролей из обычных слов или фраз). Преступники могут использовать эти недостатки для начала кибератаки.
Составить полную картину происходящего в трафике и обнаружить даже сложные киберугрозы (использование SSH-туннелей[2], перемещение внутри инфраструктуры, атаки типа NTLM Relay) могут продукты класса NTA — network traffic analysis. К ним относится PT NAD, система поведенческого анализа трафика. Опираясь на полученную информацию, оператор SOC может вовремя остановить кибератаку».
PT NAD позволяет компаниям получать полное представление о состоянии сетевой инфраструктуры, выявлять уязвимости и слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ атак. Еще больше узнать о возможностях продукта в части детектирования современных киберугроз вы сможете 24 сентября на митапе NetCase Day, который проводит Positive Technologies.
[1] Исследование сделано на основе данных пилотных проектов PT NAD и комплекса PT Anti-APT (в состав которого входит PT NAD) за 2023-й и первое полугодие 2024 года в 38 компаниях. Организации дали согласие на анализ результатов. Все данные обезличены.
[2] Передача данных в зашифрованном виде с помощью SSH (Secure Shell) — протокола для удаленного управления операционной системой с помощью командной строки.
