Исследование: в семь из восьми банков можно проникнуть из интернета

ЕЖЕДНЕВНИК, 21 февраля 2020

Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций и пришли к выводу, что сегодня можно проникнуть в инфраструктуру практически любого банка.

Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.

В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067.

Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании — пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.

«Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, — рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. — Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга».

• Пандемия коронавируса активизировала киберпреступников

  Ситуацию с коронавирусом начали активно использовать киберпреступники, что привело к появлению новых угроз для пользователей интернета, отмечают эксперты международной компании ESET.

• В Беларуси появился онлайн-ресурс о качестве товаров и услуг

  Государственный комитет по стандартизации создал онлайн-ресурс о качестве товаров и услуг «Качество.бел».

• Positive Technologies обнаружила неустранимую уязвимость в чипсетах Intel

  Ошибка в неперезаписываемой области памяти (ROM) чипсета потенциально позволяет скомпрометировать ключи шифрования платформы и перехватить конфиденциальную информацию. Ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет

• CB Insights назвала самый дорогой белорусский стартап в Европе

  Аналитики CB Insights составили карту европейских стартапов, которые привлекли больше всего венчурного капитала.

• Мировое сообщество стало меньше доверять технологиям

  Аналитики Edelman выпустили 20-й ежегодный рейтинг Edelman Trust Barometer. По результатам специального онлайн-опроса, за год уровень общественного доверия к технологическим компаниям в мире упал на 4.

• В мировом финтех-рейтинге Минск на 147 месте

  Аналитики Findexable составили The Global Fintech Index 2020. Это рейтинг развития финтеха в мире с учетом оценки локальной инфраструктуры и экосистемы.

• Эксперты рассказали, как уберечься от слежки через смартфон

  Многие приложения, скачанные на смартфон, могут «организовать» слежку за его владельцем. Особенно часто зловредами оказываются приложения для обработки фотографий.

• Эпидемия откусит у Apple кусок квартальной выручки

  Apple сообщила, не сможет выполнить план продаж во втором финансовом квартале 2020 года. Это связано с ожидаемым дефицитом iPhone в мире и слабым спросом на смартфоны в Китае из-за коронавируса.

• Добро пожаловать в казино

  Погрузиться в атмосферу удачи, азарта, везения и ярких, незабываемых эмоций сегодня стало намного проще, чем еще 15-20 лет назад.

• Белорусов предупредили об увеличившейся угрозе хищения денег

  Национальный центр реагирования на компьютерные инциденты Беларуси предупредил, что тренд на активизацию злоумышленников, похищающих деньги граждан и юрлиц с помощью специального ПО, в 2020 году сохраняется.

• Заявление для СМИ относительно истории с бэкдором в The Wall Street Journal

  -

• Белорусы разработали приложение «Коронавирус» c картой заболеваний и прогнозами

  Программисты из Беларуси разработали первый релиз приложения «Коронавирус». Разработчиком игры значится VVV Zombie Games.

• Какие задачи в помещении решают раздвижные стены

  Планировка помещения сегодня совершенно не ограничивает владельцев квартир, офисов, ресторанов и т.д. в экспериментах. Причем изменить вид и функционал помещения сегодня можно без грандиозного ремонта. Вернее, без ремонта совсем.

• На IT-рынке Беларуси – очередная консолидация: ScienceSoft поглотила OCSICO

  Разработчик программного обеспечения ScienceSoft сообщил dev.by о слиянии с ИТ-компанией OCSICO.

• Крутой: Построить IT-страну нужно к 2025 году

  Задачу построения IT-страны нужно решить к 2025 году, заявил первый заместитель премьер-министра Беларуси Дмитрий Крутой на заседании итоговой коллегии Министерства связи и информатизации.

• Net Entertainment и Blueprint: детали их сотрудничества

  Нэт Энт является шведской фирмой, которая занимается разработкой и поставкой игровых решений премиум-класса для самых успешных операторов по всему миру.

• Немецкая техника на выгодных условиях

  Немецкая техника во всем мире славится как надежная и долговечная. При этом, как известно, стоимость ее не самая низкая. Однако это действительно стоит того.

• Facebook разрешил всем пользователям очистить историю просмотра внешнего интернета

  Всем пользователям соцсети стал доступен раздел «Действия вне Facebook», в котором можно просматривать и удалять историю их действий, переданную сторонними сайтами и приложениями через инструменты для бизнеса.

• Как заработать на токенах?

  Электронные деньги, цифровые валюты, токены и прочие криптоинструменты – для нас явление сравнительно новое, и вместе с этим модное и популярное.

• ГКНТ отчитался о производстве технологической продукции в 2019 году

  Объем выпущенной продукции и услуг в рамках научно-технических программ достиг в 2019 году почти 5 млрд рублей, что на 2% выше объема 2018 года и превышает темпы производства в традиционных отраслях экономики.