Календарь мероприятий


Исследование Positive Technologies: в сеть 7 из 8 финансовых организаций можно проникнуть из интернета

   В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней.
   Эксперты Positive Technologies проанализировали защищенность инфраструктуры финансовых организаций . Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий).
   В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.
   В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway , которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.
   В случае когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067 .
   Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании - пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.
   "Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение, - рассказывает руководитель отдела аналитики информационной безопасности Евгений Гнедин. - Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга".

Источник: https://www.securitylab.ru/news/505236.php

27.02.2020

Обсудить новости на нашей странице на VKontakte


Новости ББТ
28.08.2025
Обновление раздела ББТ "Банковские риски" от 28.08.2025
28.08.2025
Обновление раздела ББТ "Организация банковской деятельности" от 28.08.2025
28.08.2025
Обновление раздела ББТ "Информационная безопасность банка" от 28.08.2025
28.08.2025
Обновление раздела ББТ "Кредитные операции в банке" - от 28.08.2025
28.08.2025
Обновление раздела ББТ "Внутренний контроль в банке" от 28.08.2025 Все новости
Наши мероприятия
28.08.2025
11.09.2025 - Обзор основных изменений банковского законодательства во II квартале 2025 года. Читает Болдырь И.А.
14.05.2025
Ян Кэмпбэлл (Чехия), встреча-онлайн - Современные проблемы финансов в России и за рубежом
25.04.2025
06.05.2025 - Проблематика ESG и устойчивое развитие: забвение или ренессанс
20.04.2025
30.04.2025 - Антифрод (система противодействия мошенничеству) в банках и МФО
18.04.2025
29.04.2025 - Семинар-онлайн "Всё об инвестициях в золото" Все новости
Новости для банков
18.09.2025
ГД отклонила законопроект об увеличении до 80% прибыли ЦБ в федеральный бюджет
18.09.2025
Каждый пятый россиянин не справляется с кредитной нагрузкой
18.09.2025
Банк России представляет концепцию надзорного стресс-тестирования банков для обсуждения с рынком
17.09.2025
Депутат Горелкин: В Госдуме ожидают внесения второго пакета мер против мошенников
17.09.2025
Банк России определил основные направления развития финансового рынка на 2026-2028 годы Все новости
Новости библиотеки
28.11.2019
Обновление Электронной Библиотеки Банка от 28.11.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости