Исследование: в семь из восьми банков можно проникнуть из интернета

Опубликовано: 2020-03-23 03:00:10



Исследование: в семь из восьми банков можно проникнуть из интернета

Технологии

ЕЖЕДНЕВНИК, 21 февраля 2020

АА

Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций и пришли к выводу, что сегодня можно проникнуть в инфраструктуру практически любого банка.

Исследование: в семь из восьми банков можно проникнуть из интернета

Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.

В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067.

Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании — пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.

«Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, — рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. — Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга».

Поделиться новостью с друзьями : Другие новости по тематике «Технологии»
  • Пандемия коронавируса активизировала киберпреступников

    Ситуацию с коронавирусом начали активно использовать киберпреступники, что привело к появлению новых угроз для пользователей интернета, отмечают эксперты международной компании ESET.

  • В Беларуси появился онлайн-ресурс о качестве товаров и услуг

    Государственный комитет по стандартизации создал онлайн-ресурс о качестве товаров и услуг «Качество.бел».

  • Positive Technologies обнаружила неустранимую уязвимость в чипсетах Intel

    Ошибка в неперезаписываемой области памяти (ROM) чипсета потенциально позволяет скомпрометировать ключи шифрования платформы и перехватить конфиденциальную информацию. Ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет

  • CB Insights назвала самый дорогой белорусский стартап в Европе

    Аналитики CB Insights составили карту европейских стартапов, которые привлекли больше всего венчурного капитала.

  • Мировое сообщество стало меньше доверять технологиям

    Аналитики Edelman выпустили 20-й ежегодный рейтинг Edelman Trust Barometer. По результатам специального онлайн-опроса, за год уровень общественного доверия к технологическим компаниям в мире упал на 4.

  • В мировом финтех-рейтинге Минск на 147 месте

    Аналитики Findexable составили The Global Fintech Index 2020. Это рейтинг развития финтеха в мире с учетом оценки локальной инфраструктуры и экосистемы.

  • Эксперты рассказали, как уберечься от слежки через смартфон

    Многие приложения, скачанные на смартфон, могут «организовать» слежку за его владельцем. Особенно часто зловредами оказываются приложения для обработки фотографий.

  • Эпидемия откусит у Apple кусок квартальной выручки

    Apple сообщила, не сможет выполнить план продаж во втором финансовом квартале 2020 года. Это связано с ожидаемым дефицитом iPhone в мире и слабым спросом на смартфоны в Китае из-за коронавируса.

  • Добро пожаловать в казино

    Погрузиться в атмосферу удачи, азарта, везения и ярких, незабываемых эмоций сегодня стало намного проще, чем еще 15-20 лет назад.

  • Белорусов предупредили об увеличившейся угрозе хищения денег

    Национальный центр реагирования на компьютерные инциденты Беларуси предупредил, что тренд на активизацию злоумышленников, похищающих деньги граждан и юрлиц с помощью специального ПО, в 2020 году сохраняется.

  • Заявление для СМИ относительно истории с бэкдором в The Wall Street Journal

    -

  • Белорусы разработали приложение «Коронавирус» c картой заболеваний и прогнозами

    Программисты из Беларуси разработали первый релиз приложения «Коронавирус». Разработчиком игры значится VVV Zombie Games.

  • Какие задачи в помещении решают раздвижные стены

    Планировка помещения сегодня совершенно не ограничивает владельцев квартир, офисов, ресторанов и т.д. в экспериментах. Причем изменить вид и функционал помещения сегодня можно без грандиозного ремонта. Вернее, без ремонта совсем.

  • На IT-рынке Беларуси – очередная консолидация: ScienceSoft поглотила OCSICO

    Разработчик программного обеспечения ScienceSoft сообщил dev.by о слиянии с ИТ-компанией OCSICO.

  • Крутой: Построить IT-страну нужно к 2025 году

    Задачу построения IT-страны нужно решить к 2025 году, заявил первый заместитель премьер-министра Беларуси Дмитрий Крутой на заседании итоговой коллегии Министерства связи и информатизации.

  • Net Entertainment и Blueprint: детали их сотрудничества

    Нэт Энт является шведской фирмой, которая занимается разработкой и поставкой игровых решений премиум-класса для самых успешных операторов по всему миру.

  • Немецкая техника на выгодных условиях

    Немецкая техника во всем мире славится как надежная и долговечная. При этом, как известно, стоимость ее не самая низкая. Однако это действительно стоит того.

  • Facebook разрешил всем пользователям очистить историю просмотра внешнего интернета

    Всем пользователям соцсети стал доступен раздел «Действия вне Facebook», в котором можно просматривать и удалять историю их действий, переданную сторонними сайтами и приложениями через инструменты для бизнеса.

  • Как заработать на токенах?

    Электронные деньги, цифровые валюты, токены и прочие криптоинструменты – для нас явление сравнительно новое, и вместе с этим модное и популярное.

  • ГКНТ отчитался о производстве технологической продукции в 2019 году

    Объем выпущенной продукции и услуг в рамках научно-технических программ достиг в 2019 году почти 5 млрд рублей, что на 2% выше объема 2018 года и превышает темпы производства в традиционных отраслях экономики.

Related posts