Get best of the week

Estudio de tecnologías positivas: 7 de cada 8 instituciones financieras pueden ingresar a la red desde Internet



Analizamos la seguridad de la infraestructura de las instituciones financieras . Para generar un informe público, se seleccionaron 18 proyectos (8 pruebas externas y 10 internas), realizados para organizaciones del sector crediticio y financiero, en los que los clientes de trabajo no introdujeron restricciones significativas en la lista de redes y sistemas probados.

Los expertos de Positive Technologies calificaron el nivel general de protección del perímetro de la red y la infraestructura corporativa de las instituciones financieras estudiadas como bajas (y en algunos casos extremadamente bajas). En particular, la encuesta mostró que la posibilidad de penetración en la red interna desde Internet se encontró en 7 de las 8 organizaciones verificadas.

Hallazgos clave del estudio


En promedio, los ciberdelincuentes necesitan cinco días para penetrar en la red interna del banco. Al mismo tiempo, el nivel general de protección del perímetro en seis organizaciones probadas se calificó como extremadamente bajo. La mayoría de los vectores de ataque (44%) se basan en la explotación de vulnerabilidades en aplicaciones web.

El uso de versiones de software desactualizadas en el perímetro de la red sigue siendo un problema grave: al menos un ataque pentest utilizando un exploit público conocido tuvo éxito en cada segundo banco. Además, durante cinco pentests se identificaron seis vulnerabilidades de día cero y se explotaron con éxito. Una de estas vulnerabilidades fue la vulnerabilidad CVE-2019-19781 en Citrix Application Delivery Controller (ADC) y Citrix Gateway, descubierta por expertos de Positive Technologies, que hipotéticamente permite que se ejecuten comandos arbitrarios en el servidor y penetren en la red local de la compañía desde Internet.

En el caso de que un atacante potencial ya haya obtenido acceso a la red, tomará un promedio de dos días capturar el control total sobre la infraestructura. Los expertos estiman que el nivel general de protección de las compañías financieras contra ataques de este tipo es extremadamente bajo. En particular, en 8 de cada 10 bancos, los sistemas de protección antivirus instalados en estaciones de trabajo y servidores no impidieron el lanzamiento de utilidades especializadas, como secretsdump. También hay vulnerabilidades conocidas que le permiten obtener un control total sobre Windows. Algunos fueron considerados hace unos años en los boletines de seguridad MS17-010 (utilizados en el ataque WannaCry) y (!) MS08-067.

En todas las organizaciones donde se realizó el pentest interno, lograron obtener los máximos privilegios en la infraestructura corporativa. El número máximo de vectores de ataque para una compañía es cinco. En una serie de proyectos de prueba, los objetivos eran el acceso a una red de cajeros automáticos, servidores de procesamiento de tarjetas (con una demostración de la posibilidad de malversación de dinero), estaciones de trabajo de alta gerencia y centros de control de protección antivirus. En todos los casos, el logro de estos objetivos se demostró al cliente de prueba.

recomendaciones


El resultado del pentest en uno de los casos fue la identificación de rastros de hacks anteriores. Es decir, el banco no solo fue atacado por un atacante real, sino que no pudo detectar el ataque a tiempo.

Teniendo en cuenta estos hechos, así como el bajo nivel general de seguridad, recomendamos realizar regularmente pruebas de penetración y capacitación de los empleados de IS como parte del equipo rojo. Esto permitirá detectar y eliminar oportunamente los posibles vectores de ataque para recursos críticos, así como determinar las acciones de los servicios de SI en caso de un ciberataque real, y aumentar la efectividad de las herramientas de protección y monitoreo utilizadas.

Los crackers profesionales han aprendido a ocultar cuidadosamente su presencia en la infraestructura de empresas comprometidas. A menudo, sus acciones ingeniosas solo se pueden detectar en el curso de un análisis en profundidad del tráfico de red con análisis de protocolos a nivel de aplicación (L7). Este problema se resuelve mediante los sistemas de clase de análisis de tráfico de red (NTA).

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies « 2019 » , . , , .

, .

More articles:


All Articles