Аналитики компании изучили результаты пилотных проектов PT NAD и PT Anti-APT
Эксперты Для просмотра ссылки Войди
Аналитики Positive Technologies изучили результаты пилотных проектов, проведенных в 60 компаниях, где была использована система глубокого анализа сетевого трафика Для просмотра ссылки Войди
В 70% компаний, которые проводили пилотные проекты PT NAD в 2021–2022 годах, была обнаружена активность вредоносного ПО. Чаще всего в сетевом трафике обнаруживались следы функционирования майнеров, вредоносного ПО (ВПО) для удаленного управления и шифровальщиков. По-прежнему актуален и опасен шифровальщик Для просмотра ссылки Войди
Подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, зафиксирована в 93% исследованных организаций.
«Сокрытие сетевого трафика — одна из основных техник, которые были выявлены при анализе трафика: в 65% случаев было обнаружено туннелирование, а в 53% — прокси, — говорит аналитик исследовательской группы Positive Technologies Федор Чунижеков. — Для незаметного перемещения по сети и коммуникации с управляющими серверами злоумышленники могут использовать подключения к узлам Tor (выявлены в 47% компаний), VPN (OpenVPN — в 28% компаний) или нестандартные библиотеки для подключения по протоколу SSH, который часто используется администраторами для удаленного доступа к ресурсам. С помощью решения Для просмотра ссылки Войди
В 17% компаний были выявлены множественные неудачные попытки аутентификации. По данным специалистов Positive Technologies, они могут свидетельствовать о попытках перемещения по узлам внутри периметра и продвижения по ресурсам инфраструктуры. Главная опасность такой атаки заключается в том, что могут быть скомпрометированы учетные записи пользователей критически важных систем и администраторов домена: техника brute force оказалась эффективной во всех Для просмотра ссылки Войди
«Разнообразие выявленных угроз говорит о том, что злоумышленники становятся изощреннее, — комментирует Олег Хныков, менеджер по продвижению PT Network Attack Discovery. — Злоумышленникам такое положение вещей только „на руку“. Проникнув в сеть и закрепившись в ней, они могут зашифровать инфраструктуру, требуя выкуп, захватить контроль над всеми активами компании, использовать инфраструктуру как плацдарм для других атак или майнинга, а также продать доступы в дарквебе. Защитить компанию в данном случае способны продукты класса NTA (network traffic analysis), в частности PT NAD, который служит радаром для специалистов по ИБ, позволяя быстро определить попытки проникновения в инфраструктуру и определить уже закрепившихся злоумышленников или действующих инсайдеров, сокращая время их присутствия в сети до минимума».
По мнению экспертов Positive Technologies, несмотря на то, что злоумышленники постоянно совершенствуют техники и тактики компрометации корпоративных сетей, они оставляют в трафике много следов: средства класса NTA позволяют оперативно выявлять сетевую активность атакующих и реагировать на их действия в реальном времени, а также расследовать их с помощью ретроспективного анализа сетевой активности на узлах.
1 Данные отчетов, представленных в выборке, получены из проектов, заказчики которых дали согласие на анализ результатов мониторинга сетевой активности и их публикацию в обезличенном виде.
- Источник новости
- www.securitylab.ru