Календарь мероприятий


Исследование Positive Technologies: в сеть 7 из 8 финансовых организаций можно проникнуть из интернета

   В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней.
   Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций . Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий).
   В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.
   В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway , которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.
   В случае когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067 .
   Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании - пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.
   "Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, - рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. - Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга".

Источник: https://www.securitylab.ru/news/505236.php

27.02.2020

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
25.04.2024
Обновление раздела ББТ "Противодействие легализации" от 25.04.2024
29.02.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Банковские риски" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 29.02.2024
29.02.2024
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 29.02.2024 Все новости
Наши мероприятия
22.04.2024
22.04.2024 - "Осторожно, мошенники!"
19.04.2024
19.04.2024 - "Современное страхование жизни: проблемы и перспективы"
18.04.2024
18.04.2024 - Интернет-Чемпионат по банковскому делу
15.04.2024
15.04.2024 - "Цифровая экосистема исламских финансов"
12.04.2024
12.04.2024 - "От безналичных расчётов к цифровым валютам"
11.04.2024
11.04.2024 - "Обзор изменений банковского законодательства за IV кв 2023 г."
10.04.2024
10.04.2024 - "Современные риски мировой финансовой системы" Все новости
Новости для банков
24.04.2024
Матрасный интерес: как неимущие смогут открывать социальные вклады
24.04.2024
Построй в сторонке: Минфин готовит особые условия по семейной ипотеке в малых городах
24.04.2024
Clearstream отказался поддержать выкуп заблокированных бумаг у россиян
24.04.2024
Власти продлят требования по возврату валютной выручки до конца года
24.04.2024
Кто берёт ипотеку на вторичном рынке Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости