85% компаний в России используют незащищённые протоколы связи

Специалисты Positive Technologies проанализировали результаты пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), проведённых во втором полугодии 2024-го и первом полугодии 2025 года.

Исследование охватило организации из России и стран СНГ — ИТ-компании, госучреждения, промышленные и финансовые предприятия.

Главные угрозы, которые чаще всего фиксировались в корпоративных сетях, — попытки эксплуатации уязвимостей, активность вредоносных программ и нарушения правил информационной безопасности, включая использование нешифрованных протоколов передачи данных.

96% компаний нарушают политики ИБ

Почти во всех исследованных организациях (96%) были выявлены потенциальные нарушения требований ИБ. В 85% компаний сотрудники продолжают использовать незащищённые протоколы.

Так, в 69% случаев данные для входа передаются по нешифрованному HTTP, в половине — через LDAP, а 35% организаций используют SMTP, POP3 и IMAP для пересылки почты. Все эти протоколы не обеспечивают защиту трафика, поэтому злоумышленники, получив доступ к сети, могут легко перехватить логины и пароли.

Вредоносные программы — по-прежнему один из главных рисков

Следы вредоносных программ аналитики нашли почти в половине (46%) проверенных компаний. Чаще всего встречались майнеры криптовалюты — их доля составила 82%. Такие программы обычно попадают на устройства через бесплатные приложения, заражённые файлы или массовую эксплуатацию уязвимостей.

Кроме того, в 46% организаций обнаружены резидентные прокси-вредоносы, которые превращают заражённые устройства в точки выхода для анонимного трафика. Их используют как киберпреступники, так и легальные структуры, например рекламные агентства.

В трафике 16% компаний были замечены шпионские программы — Snake Keylogger, Agent Tesla, FormBook и RedLine. Эти инструменты воруют пароли, делают скриншоты, фиксируют нажатия клавиш и собирают данные о системе.

Также обнаружены трояны для удалённого доступа: Remcos RAT для Windows и SpyNote для Android.

Примечательно, что специалисты по-прежнему фиксируют активность старого шифровальщика WannaCry, впервые замеченного в 2017 году. Это указывает на то, что многие компании до сих пор не обновляют системы безопасности.

Эксплуатация старых уязвимостей

Во всех компаниях фиксировались попытки взлома через давно известные бреши — например, уязвимости в роутерах Dasan GPON (CVE-2018-10561) и D-Link DIR-645 (CVE-2015-2051). Им уже семь и десять лет соответственно.

Причина в том, что многие организации до сих пор используют устаревшее оборудование и ПО, для которого не выходят обновления, а также не блокируют трафик от ботнетов.

Эксперты советуют внедрять базовые правила кибергигиены:

• использовать защищённые протоколы (HTTPS, SLDAP, SFTP, SSH, TLS для почты);
• избегать множества инструментов удалённого доступа и тщательно контролировать их использование;
• регулярно обновлять системы, применять патчи и отслеживать уведомления производителей об уязвимостях;
• использовать песочницы и решения для защиты конечных устройств от сложных атак.

Исследователи отмечают, что даже небольшие недоработки в защите могут открыть злоумышленникам путь в корпоративную сеть. А на ранних этапах их активность часто маскируется под обычные действия сотрудников. Поэтому компании призывают активнее применять инструменты анализа поведения и мониторинга сетевого трафика, чтобы обнаруживать угрозы до того, как они приведут к серьёзным инцидентам.