Исследование Positive Technologies: в сеть 7 из 8 финансовых организаций можно проникнуть из интернета



    Мы проанализировали защищенность инфраструктуры финансовых организаций. Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем.

    Эксперты Positive Technologies оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий (а в ряде случаев и крайне низкий). В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.

    Ключевые выводы исследования


    В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений.

    Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: по меньшей мере одна атака в рамках пентеста, выполненная с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, во время пяти пентестов были выявлены и успешно проэксплуатированы шесть уязвимостей нулевого дня. Одной из таких уязвимостей стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из интернета.

    В случае когда потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий. В частности, в 8 из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали запуску специализированных утилит, таких как secretsdump. Встречались также известные уязвимости, позволяющие получить полный контроль над Windows. Некоторые были рассмотрены еще несколько лет назад в бюллетенях безопасности MS17-010 (использовалась в атаке WannaCry) и (!) MS08-067.

    Во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре. Максимальное число векторов атак для одной компании — пять. В ряде проектов по тестированию целями были доступ к банкоматной сети, серверам карточного процессинга (с демонстрацией возможности хищения денег), рабочим станциям топ-менеджмента, центрам управления антивирусной защитой. Во всех случаях достижение этих целей было продемонстрировано заказчику тестирования.

    Выводы


    Результатом пентеста в одном из случаев стало выявление следов более ранних взломов. То есть банк не только был атакован реальным злоумышленником, но и не смог своевременно выявить нападение.

    Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга.

    Профессиональные взломщики научились тщательно скрывать свое присутствие в инфраструктуре скомпрометированных компаний. Зачастую их хитроумные действия удается выявить только в ходе глубокого анализа сетевого трафика с разбором протоколов до уровня приложений (L7). Эту задачу решают системы класса network traffic analysis (NTA).

    В 2019 году мы проанализировали сетевой трафик в 36 крупных компаниях с помощью NTA-системы PT Network Attack Discovery. Почти во всех организациях были замечены подозрительный трафик, передача паролей в открытом виде и вредоносная активность.

    В четверг, 27 февраля в 14:00 аналитик Positive Technologies Яна Авезова в ходе бесплатного вебинара под названием «Топ угроз ИБ в корпоративных сетях в 2019 году» поделится результатами исследования, расскажет о шести самых распространенных угрозах ИБ в корпоративных сетях и пяти наиболее часто выявляемых типах вредоносного ПО. Вы узнаете, какую активность в сети считать подозрительной и почему, а также чем опасно несоблюдение сетевой гигиены.

    Участие в вебинаре бесплатное, но для этого необходима регистрация.
    Positive Technologies
    Компания

    Комментарии 2

      0
      Профессиональные взломщики научились тщательно скрывать свое присутствие в инфраструктуре скомпрометированных компаний. Зачастую их хитроумные действия удается выявить только в ходе глубокого анализа сетевого трафика с разбором протоколов до уровня приложений (L7). Эту задачу решают системы класса network traffic analysis (NTA).
      Немножко стеганографии, немножко правильной маскировки с десятком правил, немножко проксей в облаках и NTA становится почти бесполезным. NTA был хорош на заре Интернета. Иногда свои онлайн сервисы производители ПО так усиленно маскируют, что отличить их трафик от трафика закладок бывает сложно.
      Ну, а в общем, мир корпораций в принципе не готов заниматься кибербезопасностью и понимать что такое кибербезопасность. И что это стоит денег и определенных усилий. И со временем ситуация становится все хуже и хуже.
        +1
        мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming

        Одним из необходимых условий привлечения внешних подрядчиков для такого рода работ в компаниях является «выбивание» бюджета. Этот вопрос осложняется тем, что пока у компании регулярно не происходят проблемы, связанные с безопасностью и реально финансово влияющие на деятельность компании (простои и прочее), вся эта безопасность остается в разряде эфемерных и расходных (не приносящих доход) вещей.
        В этом вопросе очень хорошо помогла бы некоего рода shareware/trial модель, при которой по договору внешний подрядчик сделал бы один шаг за периметр, но бесплатно (а если проблема не устранена, то ее ведь может эксплуатировать и обезьянка по мануалу). Возможность выполнения таких шагов ежеквартально может показать бизнесу (читай: помочь безопасникам вычислить и презентовать) потенциальные потери в человеко-часах и деньгах. А это уже будет весомым аргументом в диалоге безопасности и бизнеса.
        Это мнение мое, как безопасника, 10 лет проработавшего в финансовой сфере в крупных и средних компаниях.
        Пока кто-то из пенетраторов не решится на внедрение такой бизнес-модели, вся эта безопасность «7 из 8 финансовых организаций» так и останется на уровне высокопарных фраз и прочих бессменных атрибутов жизни большой компании.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое