Get best of the week

Estudo da Positive Technologies: 7 em 8 instituições financeiras podem entrar na rede pela Internet



Nós analisamos a segurança da infra-estrutura das instituições financeiras . Para gerar um relatório público, foram selecionados 18 projetos (8 testes externos e 10 internos), realizados para organizações do setor financeiro e de crédito, nos quais os clientes do trabalho não introduziram restrições significativas na lista de redes e sistemas testados.

Os especialistas da Positive Technologies classificaram o nível geral de proteção do perímetro da rede e da infraestrutura corporativa das instituições financeiras estudadas como baixo (e, em alguns casos, extremamente baixo). Em particular, a pesquisa mostrou que a possibilidade de penetração na rede interna da Internet foi encontrada para 7 de 8 organizações verificadas.

Principais conclusões do estudo


Em média, os cibercriminosos precisam de cinco dias para penetrar na rede interna do banco. Ao mesmo tempo, o nível geral de proteção de perímetro em seis organizações testadas foi classificado como extremamente baixo. A maioria dos vetores de ataque (44%) é baseada na exploração de vulnerabilidades em aplicativos da web.

O uso de versões desatualizadas de software no perímetro da rede continua sendo um problema sério: pelo menos um ataque reprovado usando uma exploração pública conhecida foi bem-sucedido em cada segundo banco. Além disso, durante cinco protestos, seis vulnerabilidades de dia zero foram identificadas e exploradas com sucesso. Uma dessas vulnerabilidades foi a vulnerabilidade CVE-2019-19781 no Citrix Application Delivery Controller (ADC) e no Citrix Gateway, descoberta por especialistas da Positive Technologies, que hipoteticamente permite que comandos arbitrários sejam executados no servidor e penetrem na rede local da empresa pela Internet.

No caso de um invasor em potencial já ter acesso à rede, levará uma média de dois dias para capturar o controle total da infraestrutura. O nível geral de proteção das empresas financeiras contra ataques desse tipo é estimado por especialistas como extremamente baixo. Em particular, em 8 dos 10 bancos, os sistemas de proteção antivírus instalados em estações de trabalho e servidores não impediram o lançamento de utilitários especializados, como o segredo secreto. Também existem vulnerabilidades conhecidas que permitem obter controle total sobre o Windows. Alguns foram considerados há vários anos nos boletins de segurança MS17-010 (usados ​​no ataque WannaCry) e (!) MS08-067.

Em todas as organizações onde o teste interno foi realizado, eles conseguiram obter o máximo de privilégios na infraestrutura corporativa. O número máximo de vetores de ataque para uma empresa é cinco. Em vários projetos de teste, os objetivos eram o acesso a uma rede ATM, servidores de processamento de cartões (com uma demonstração da possibilidade de desvio de dinheiro), estações de trabalho de alta gerência e centros de controle de proteção antivírus. Em todos os casos, a consecução desses objetivos foi demonstrada ao cliente de teste.

achados


O resultado do teste em um dos casos foi a identificação de vestígios de hacks anteriores. Ou seja, o banco não foi atacado apenas por um invasor real, mas não conseguiu detectar o ataque em tempo hábil.

Tendo em vista esses fatos, bem como o baixo nível geral de segurança, recomendamos a realização regular de testes de penetração e treinamento dos funcionários de SI como parte da equipe vermelha. Isso nos permitirá detectar e eliminar oportunamente possíveis vetores de ataque de recursos críticos, além de elaborar as ações dos serviços de SI no caso de um ataque cibernético real e aumentar a eficácia das ferramentas de proteção e monitoramento usadas.

Os crackers profissionais aprenderam a esconder cuidadosamente sua presença na infraestrutura de empresas comprometidas. Freqüentemente, suas ações engenhosas podem ser detectadas apenas durante uma análise aprofundada do tráfego de rede com a análise de protocolos no nível do aplicativo (L7). Esse problema é resolvido pelos sistemas de classe de análise de tráfego de rede (NTA).

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies « 2019 » , . , , .

, .

More articles:


All Articles