Исследование: в семь из восьми банков можно проникнуть из интернета
Опубликовано: 2020-02-26 03:04:42
Исследование: в семь из восьми банков можно проникнуть из интернета
Технологии
ЕЖЕДНЕВНИК,
21 февраля 2020
АА
Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций и пришли к выводу, что сегодня можно проникнуть в инфраструктуру практически любого банка.
Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.
В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.
В случае, когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067.
Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании — пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.
«Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, — рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. — Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга».
Поделиться новостью с друзьями :
Другие новости по тематике «Технологии»
Многие приложения, скачанные на смартфон, могут «организовать» слежку за его владельцем. Особенно часто зловредами оказываются приложения для обработки фотографий.
Apple сообщила, не сможет выполнить план продаж во втором финансовом квартале 2020 года. Это связано с ожидаемым дефицитом iPhone в мире и слабым спросом на смартфоны в Китае из-за коронавируса.
Добро пожаловать в казино
Погрузиться в атмосферу удачи, азарта, везения и ярких, незабываемых эмоций сегодня стало намного проще, чем еще 15-20 лет назад.
Национальный центр реагирования на компьютерные инциденты Беларуси предупредил, что тренд на активизацию злоумышленников, похищающих деньги граждан и юрлиц с помощью специального ПО, в 2020 году сохраняется.
Белорусы разработали приложение «Коронавирус» c картой заболеваний и прогнозами
Программисты из Беларуси разработали первый релиз приложения «Коронавирус». Разработчиком игры значится VVV Zombie Games.
Какие задачи в помещении решают раздвижные стены
Планировка помещения сегодня совершенно не ограничивает владельцев квартир, офисов, ресторанов и т.д. в экспериментах. Причем изменить вид и функционал помещения сегодня можно без грандиозного ремонта. Вернее, без ремонта совсем.
На IT-рынке Беларуси – очередная консолидация: ScienceSoft поглотила OCSICO
Разработчик программного обеспечения ScienceSoft сообщил dev.by о слиянии с ИТ-компанией OCSICO.
Задачу построения IT-страны нужно решить к 2025 году, заявил первый заместитель премьер-министра Беларуси Дмитрий Крутой на заседании итоговой коллегии Министерства связи и информатизации.
Нэт Энт является шведской фирмой, которая занимается разработкой и поставкой игровых решений премиум-класса для самых успешных операторов по всему миру.
Немецкая техника во всем мире славится как надежная и долговечная. При этом, как известно, стоимость ее не самая низкая. Однако это действительно стоит того.
Facebook разрешил всем пользователям очистить историю просмотра внешнего интернета
Всем пользователям соцсети стал доступен раздел «Действия вне Facebook», в котором можно просматривать и удалять историю их действий, переданную сторонними сайтами и приложениями через инструменты для бизнеса.
Как заработать на токенах?
Электронные деньги, цифровые валюты, токены и прочие криптоинструменты – для нас явление сравнительно новое, и вместе с этим модное и популярное.
Объем выпущенной продукции и услуг в рамках научно-технических программ достиг в 2019 году почти 5 млрд рублей, что на 2% выше объема 2018 года и превышает темпы производства в традиционных отраслях экономики.
ESET: 88% компаний в странах СНГ столкнулись с киберугрозами
Международная антивирусная компания ESET провела исследование о состоянии информационной безопасности в странах СНГ. По его результатам выяснилось, что с различными киберугрозами столкнулись 88% компаний.
На National Council of Legislators from Gaming States Winter Meeting представили концепцию, которая поможет обеспечить основу для предупреждения появления проблемных ситуаций на рынке гемблинга и быстрого продвижения соответствующих решений.
Будем ли мы чувствовать себя безопасно в интернете в 2020 году
Колумнист американского издания Forbes Гил Пресс опросил IT-экспертов и составил список из 141 прогноза по кибербезопасности на 2020 год.
Национальная академия наук Беларуси на Всемирной выставке ЭКСПО-2020 в Дубае в числе своих разработок представит 4D-принтер сообщал директор Национального центра маркетинга МИД Валерий Садохо.