Get best of the week

Etude Positive Technologies: 7 institutions financières sur 8 peuvent accéder au réseau depuis Internet



Nous avons analysé la sécurité de l'infrastructure des institutions financières . Pour générer un rapport public, 18 projets ont été sélectionnés (8 tests externes et 10 internes), réalisés pour des organisations du secteur financier et du crédit, dans lesquels les clients du travail n'ont pas introduit de restrictions importantes sur la liste des réseaux et systèmes testés.

Les experts de Positive Technologies ont évalué le niveau global de protection du périmètre du réseau et de l'infrastructure d'entreprise des institutions financières étudiées comme faible (et dans certains cas extrêmement faible). En particulier, l'enquête a montré que la possibilité de pénétration dans le réseau interne à partir d'Internet a été trouvée pour 7 des 8 organisations vérifiées.

Principales conclusions de l'étude


En moyenne, les cybercriminels ont besoin de cinq jours pour pénétrer le réseau interne de la banque. Dans le même temps, le niveau global de protection du périmètre dans six organisations testées a été jugé extrêmement faible. La plupart des vecteurs d'attaque (44%) sont basés sur l'exploitation de vulnérabilités dans des applications Web.

L'utilisation de versions de logiciels obsolètes sur le périmètre du réseau reste un problème sérieux: au moins une attaque pentest utilisant un exploit public bien connu a réussi dans chaque seconde banque. De plus, au cours de cinq pentests, six vulnérabilités zero-day ont été identifiées et exploitées avec succès. L'une de ces vulnérabilités était la vulnérabilité CVE-2019-19781 dans Citrix Application Delivery Controller (ADC) et Citrix Gateway, découverte par des experts de Positive Technologies, qui permet hypothétiquement d'exécuter des commandes arbitraires sur le serveur et de pénétrer le réseau local de l'entreprise depuis Internet.

Dans le cas où un attaquant potentiel a déjà accédé au réseau, il faudra en moyenne deux jours pour capturer le contrôle total de l'infrastructure. Le niveau global de protection des sociétés financières contre les attaques de ce type est estimé par les experts comme extrêmement faible. En particulier, dans 8 banques sur 10, les systèmes de protection antivirus installés sur les postes de travail et les serveurs n'ont pas empêché le lancement d'utilitaires spécialisés, tels que secretdump. Il existe également des vulnérabilités connues qui vous permettent d'avoir un contrôle total sur Windows. Certains ont été pris en compte il y a plusieurs années dans les bulletins de sécurité MS17-010 (utilisés dans l'attaque WannaCry) et (!) MS08-067.

Dans toutes les organisations où le pentest interne a été mené, ils ont réussi à obtenir le maximum de privilèges dans l'infrastructure de l'entreprise. Le nombre maximum de vecteurs d'attaque pour une entreprise est de cinq. Dans un certain nombre de projets de test, les objectifs étaient l'accès à un réseau ATM, des serveurs de traitement de cartes (avec une démonstration de la possibilité de détournement d'argent), des postes de travail de direction et des centres de contrôle de protection anti-virus. Dans tous les cas, la réalisation de ces objectifs a été démontrée au client testeur.

résultats


Le résultat du pentest dans l'un des cas a été l'identification de traces de hacks antérieurs. Autrement dit, la banque a non seulement été attaquée par un véritable attaquant, mais n'a pas pu détecter l'attaque en temps opportun.

Compte tenu de ces faits, ainsi que du faible niveau général de sécurité, nous recommandons d'effectuer régulièrement des tests de pénétration et de former les employés du SI dans le cadre de l'équipe rouge. Cela nous permettra de détecter et d'éliminer en temps opportun les vecteurs d'attaque potentiels pour les ressources critiques, ainsi que de déterminer les actions des services SI en cas de véritable cyberattaque, et d'augmenter l'efficacité des outils de protection et de surveillance utilisés.

Les crackers professionnels ont appris à cacher soigneusement leur présence dans l'infrastructure des entreprises compromises. Souvent, leurs actions ingénieuses ne peuvent être détectées qu'au cours d'une analyse approfondie du trafic réseau avec une analyse des protocoles au niveau de l'application (L7). Ce problème est résolu par les systèmes de classe NTA (Network Traffic Analysis).

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies « 2019 » , . , , .

, .

More articles:


All Articles