Исследование: в семь из восьми банков можно проникнуть из интернета

ЕЖЕДНЕВНИК, 21 февраля 2020

Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций и пришли к выводу, что сегодня можно проникнуть в инфраструктуру практически любого банка.

Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.

В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067.

Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании — пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.

«Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, — рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. — Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга».

• Эксперты рассказали, как уберечься от слежки через смартфон

  Многие приложения, скачанные на смартфон, могут «организовать» слежку за его владельцем. Особенно часто зловредами оказываются приложения для обработки фотографий.

• Эпидемия откусит у Apple кусок квартальной выручки

  Apple сообщила, не сможет выполнить план продаж во втором финансовом квартале 2020 года. Это связано с ожидаемым дефицитом iPhone в мире и слабым спросом на смартфоны в Китае из-за коронавируса.

• Добро пожаловать в казино

  Погрузиться в атмосферу удачи, азарта, везения и ярких, незабываемых эмоций сегодня стало намного проще, чем еще 15-20 лет назад.

• Белорусов предупредили об увеличившейся угрозе хищения денег

  Национальный центр реагирования на компьютерные инциденты Беларуси предупредил, что тренд на активизацию злоумышленников, похищающих деньги граждан и юрлиц с помощью специального ПО, в 2020 году сохраняется.

• Заявление для СМИ относительно истории с бэкдором в The Wall Street Journal

  -

• Белорусы разработали приложение «Коронавирус» c картой заболеваний и прогнозами

  Программисты из Беларуси разработали первый релиз приложения «Коронавирус». Разработчиком игры значится VVV Zombie Games.

• Какие задачи в помещении решают раздвижные стены

  Планировка помещения сегодня совершенно не ограничивает владельцев квартир, офисов, ресторанов и т.д. в экспериментах. Причем изменить вид и функционал помещения сегодня можно без грандиозного ремонта. Вернее, без ремонта совсем.

• На IT-рынке Беларуси – очередная консолидация: ScienceSoft поглотила OCSICO

  Разработчик программного обеспечения ScienceSoft сообщил dev.by о слиянии с ИТ-компанией OCSICO.

• Крутой: Построить IT-страну нужно к 2025 году

  Задачу построения IT-страны нужно решить к 2025 году, заявил первый заместитель премьер-министра Беларуси Дмитрий Крутой на заседании итоговой коллегии Министерства связи и информатизации.

• Net Entertainment и Blueprint: детали их сотрудничества

  Нэт Энт является шведской фирмой, которая занимается разработкой и поставкой игровых решений премиум-класса для самых успешных операторов по всему миру.

• Немецкая техника на выгодных условиях

  Немецкая техника во всем мире славится как надежная и долговечная. При этом, как известно, стоимость ее не самая низкая. Однако это действительно стоит того.

• Facebook разрешил всем пользователям очистить историю просмотра внешнего интернета

  Всем пользователям соцсети стал доступен раздел «Действия вне Facebook», в котором можно просматривать и удалять историю их действий, переданную сторонними сайтами и приложениями через инструменты для бизнеса.

• Как заработать на токенах?

  Электронные деньги, цифровые валюты, токены и прочие криптоинструменты – для нас явление сравнительно новое, и вместе с этим модное и популярное.

• ГКНТ отчитался о производстве технологической продукции в 2019 году

  Объем выпущенной продукции и услуг в рамках научно-технических программ достиг в 2019 году почти 5 млрд рублей, что на 2% выше объема 2018 года и превышает темпы производства в традиционных отраслях экономики.

• ESET: 88% компаний в странах СНГ столкнулись с киберугрозами

  Международная антивирусная компания ESET провела исследование о состоянии информационной безопасности в странах СНГ. По его результатам выяснилось, что с различными киберугрозами столкнулись 88% компаний.

• Беларусь вошла в топ-5 стран мира по доступности интернета

  Согласно исследованиям сервиса Cable.co.uk, Беларусь находится на пятом месте в мире по доступности высокоскоростного интернета.

• Регулятор из США выделил основные идеи для безопасного гейминга

  На National Council of Legislators from Gaming States Winter Meeting представили концепцию, которая поможет обеспечить основу для предупреждения появления проблемных ситуаций на рынке гемблинга и быстрого продвижения соответствующих решений.

• Будем ли мы чувствовать себя безопасно в интернете в 2020 году

  Колумнист американского издания Forbes Гил Пресс опросил IT-экспертов и составил список из 141 прогноза по кибербезопасности на 2020 год.

• Белтелеком повысил тарифы на доступ к интернету

  Белтелеком сообщил о повышении тарифов на некоторые услуги электросвязи - в среднем на 5%.

• НАН Беларуси представит на выставке в Дубае биопринтер

  Национальная академия наук Беларуси на Всемирной выставке ЭКСПО-2020 в Дубае в числе своих разработок представит 4D-принтер сообщал директор Национального центра маркетинга МИД Валерий Садохо.