Get best of the week

Studi Positive Technologies: 7 dari 8 lembaga keuangan dapat memasuki jaringan dari Internet



Kami menganalisis keamanan infrastruktur lembaga keuangan . Untuk menghasilkan laporan publik, 18 proyek dipilih (8 tes eksternal dan 10 internal), dilakukan untuk organisasi sektor keuangan dan kredit, di mana pelanggan pekerjaan tidak memperkenalkan batasan signifikan pada daftar jaringan dan sistem yang diuji.

Ahli Positive Technologies menilai keseluruhan tingkat perlindungan perimeter jaringan dan infrastruktur perusahaan dari lembaga keuangan yang diteliti rendah (dan dalam beberapa kasus sangat rendah). Secara khusus, survei menunjukkan bahwa kemungkinan penetrasi ke jaringan internal dari Internet ditemukan untuk 7 dari 8 organisasi yang diverifikasi.

Temuan Kunci dari Studi ini


Rata-rata, penjahat dunia maya perlu lima hari untuk menembus jaringan internal bank. Pada saat yang sama, tingkat keseluruhan perlindungan perimeter di enam organisasi yang diuji dinilai sangat rendah. Sebagian besar vektor serangan (44%) didasarkan pada eksploitasi kerentanan dalam aplikasi web.

Penggunaan versi perangkat lunak yang ketinggalan zaman pada perimeter jaringan tetap menjadi masalah serius: setidaknya satu serangan terpanjang menggunakan eksploitasi publik yang terkenal berhasil di setiap bank kedua. Terlebih lagi, selama lima pentest, enam kerentanan zero-day diidentifikasi dan berhasil dieksploitasi. Salah satu kerentanan ini adalah kerentanan CVE-2019-19781 di Citrix Application Delivery Controller (ADC) dan Citrix Gateway, yang ditemukan oleh para pakar Positive Technologies, yang secara hipotetis memungkinkan perintah sewenang-wenang dieksekusi pada server dan menembus jaringan lokal perusahaan dari Internet.

Dalam hal penyerang potensial telah memperoleh akses ke jaringan, akan dibutuhkan rata-rata dua hari untuk mengambil kendali penuh atas infrastruktur. Tingkat keseluruhan perlindungan perusahaan keuangan dari serangan jenis ini diperkirakan oleh para ahli sangat rendah. Secara khusus, di 8 dari 10 bank, sistem perlindungan anti-virus yang diinstal pada workstation dan server tidak mencegah peluncuran utilitas khusus, seperti secretsdump. Ada juga kerentanan yang diketahui yang memungkinkan Anda untuk mendapatkan kontrol penuh atas Windows. Beberapa dianggap beberapa tahun yang lalu dalam buletin keamanan MS17-010 (digunakan dalam serangan WannaCry) dan (!) MS08-067.

Di semua organisasi di mana pentest internal dilakukan, mereka berhasil mendapatkan hak istimewa maksimum dalam infrastruktur perusahaan. Jumlah maksimum vektor serangan untuk satu perusahaan adalah lima. Di sejumlah proyek pengujian, tujuannya adalah akses ke jaringan ATM, server pemrosesan kartu (dengan demonstrasi kemungkinan penggelapan uang), workstation manajemen puncak, dan pusat kendali perlindungan anti-virus. Dalam semua kasus, pencapaian tujuan ini ditunjukkan kepada pelanggan pengujian.

temuan


Hasil dari pentest dalam salah satu kasus adalah identifikasi jejak peretasan sebelumnya. Artinya, bank tidak hanya diserang oleh penyerang nyata, tetapi tidak dapat mendeteksi serangan secara tepat waktu.

Mengingat fakta-fakta ini, serta tingkat keamanan keseluruhan yang rendah, kami merekomendasikan untuk melakukan pengujian penetrasi dan pelatihan karyawan IS secara teratur sebagai bagian dari kerja sama tim merah. Ini akan memungkinkan kami untuk mendeteksi dan menghilangkan vektor serangan potensial untuk sumber daya penting secara tepat waktu, serta menyelesaikan tindakan layanan IS jika terjadi serangan cyber nyata, dan meningkatkan efektivitas alat perlindungan dan pemantauan yang digunakan.

Kerupuk profesional telah belajar untuk menyembunyikan kehadiran mereka dengan hati-hati di infrastruktur perusahaan yang dikompromikan. Seringkali tindakan cerdik mereka dapat dideteksi hanya dalam analisis mendalam dari lalu lintas jaringan dengan analisis protokol hingga tingkat aplikasi (L7). Masalah ini diselesaikan oleh sistem kelas network traffic analysis (NTA).

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies ยซ 2019 ยป , . , , .

, .

More articles:


All Articles