Get best of the week

Positive Technologies-Studie: 7 von 8 Finanzinstituten können über das Internet in das Netzwerk eintreten



Wir haben die Sicherheit der Infrastruktur von Finanzinstituten analysiert . Um einen öffentlichen Bericht zu erstellen, wurden 18 Projekte ausgewählt (8 externe und 10 interne), die für Organisationen des Kredit- und Finanzsektors durchgeführt wurden, bei denen die Arbeitskunden keine wesentlichen Einschränkungen für die Liste der getesteten Netzwerke und Systeme eingeführt haben.

Experten von Positive Technologies bewerteten das allgemeine Schutzniveau des Netzwerkumfangs und der Unternehmensinfrastruktur der untersuchten Finanzinstitute als niedrig (und in einigen Fällen als äußerst niedrig). Insbesondere ergab die Umfrage, dass bei 7 von 8 verifizierten Organisationen die Möglichkeit des Eindringens aus dem Internet in das interne Netzwerk festgestellt wurde.

Wichtigste Ergebnisse der Studie


Im Durchschnitt benötigen Cyberkriminelle fünf Tage, um in das interne Netzwerk der Bank einzudringen. Gleichzeitig wurde das allgemeine Schutzniveau in sechs getesteten Organisationen als äußerst niedrig eingestuft. Die meisten Angriffsmethoden (44%) basieren auf der Ausnutzung von Sicherheitslücken in Webanwendungen.

Die Verwendung veralteter Softwareversionen im Netzwerkbereich bleibt ein ernstes Problem: In jeder zweiten Bank war mindestens ein Pentest-Angriff mit einem bekannten öffentlichen Exploit erfolgreich. Darüber hinaus wurden während fünf Pentests sechs Zero-Day-Schwachstellen identifiziert und erfolgreich ausgenutzt. Eine dieser Sicherheitsanfälligkeiten war die von Experten von Positive Technologies entdeckte Sicherheitsanfälligkeit CVE-2019-19781 in Citrix Application Delivery Controller (ADC) und Citrix Gateway, die es hypothetisch ermöglicht, beliebige Befehle auf dem Server auszuführen und über das Internet in das lokale Netzwerk des Unternehmens einzudringen.

Falls ein potenzieller Angreifer bereits Zugriff auf das Netzwerk hat, dauert es durchschnittlich zwei Tage, um die vollständige Kontrolle über die Infrastruktur zu erlangen. Das allgemeine Schutzniveau von Finanzunternehmen vor Angriffen dieser Art wird von Experten als äußerst niedrig eingeschätzt. Insbesondere in 8 von 10 Banken haben auf Workstations und Servern installierte Antivirenschutzsysteme den Start spezialisierter Dienstprogramme wie Secretsdump nicht verhindert. Es sind auch Sicherheitslücken bekannt, mit denen Sie die volle Kontrolle über Windows erlangen können. Einige wurden vor einigen Jahren in den Sicherheitsbulletins MS17-010 (verwendet beim WannaCry-Angriff) und (!) MS08-067 berücksichtigt.

In allen Organisationen, in denen der interne Pentest durchgeführt wurde, gelang es ihnen, die maximalen Berechtigungen für die Unternehmensinfrastruktur zu erhalten. Die maximale Anzahl von Angriffsmethoden für ein Unternehmen beträgt fünf. In einer Reihe von Testprojekten waren die Ziele der Zugriff auf ein Geldautomaten-Netzwerk, Kartenverarbeitungsserver (mit dem Nachweis der Möglichkeit der Unterschlagung von Geld), Workstations des Top-Managements und Kontrollzentren für Virenschutz. In allen Fällen wurde dem Testkunden das Erreichen dieser Ziele demonstriert.

Ergebnisse


Das Ergebnis des Pentests in einem der Fälle war die Identifizierung von Spuren früherer Hacks. Das heißt, die Bank wurde nicht nur von einem echten Angreifer angegriffen, sondern konnte den Angriff auch nicht rechtzeitig erkennen.

Angesichts dieser Tatsachen sowie des insgesamt geringen Sicherheitsniveaus empfehlen wir, im Rahmen des Red Teaming regelmäßig Penetrationstests und Schulungen für IS-Mitarbeiter durchzuführen. Auf diese Weise können potenzielle Angriffsmethoden für kritische Ressourcen erkannt und rechtzeitig beseitigt sowie die Aktionen von IS-Diensten im Falle eines echten Cyberangriffs ermittelt und die Wirksamkeit der verwendeten Schutz- und Überwachungstools erhöht werden.

Professionelle Cracker haben gelernt, ihre Präsenz in der Infrastruktur kompromittierter Unternehmen sorgfältig zu verbergen. Oft können ihre genialen Aktionen nur im Rahmen einer eingehenden Analyse des Netzwerkverkehrs mit einer Analyse der Protokolle auf Anwendungsebene (L7) erkannt werden. Dieses Problem wird durch die NTA-Klassensysteme (Network Traffic Analysis) gelöst.

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies « 2019 » , . , , .

, .

More articles:


All Articles