Get best of the week

积极技术研究:8个金融机构中有7个可以从Internet进入网络



我们分析了金融机构基础设施的安全性为了生成公开报告,选择了18个项目(8个外部测试和10个内部测试),分别针对金融和信贷部门的组织执行,其中工作客户未对测试网络和系统的列表施加任何重大限制。

积极技术专家将研究的金融机构的网络外围和公司基础结构的总体保护等级评为低(在某些情况下为极低)。特别是,调查显示,在8个经过验证的组织中,有7个发现了从Internet渗透到内部网络的可能性。

研究的主要发现


平均而言,网络犯罪分子需要五天时间才能进入银行的内部网络。同时,在六个经过测试的组织中,外围保护的总体水平被评为极低。大多数攻击媒介(占44%)都是基于利用Web应用程序中的漏洞。

在网络边界上使用过时的软件版本仍然是一个严重的问题:在每隔两间银行中,至少有一次使用知名的公共漏洞进行的渗透测试是成功的。此外,在五次渗透测试中,发现并成功利用了六个零日漏洞。这些漏洞之一是由积极技术专家发现的Citrix Application Delivery Controller(ADC)和Citrix Gateway中的CVE-2019-19781漏洞,据推测,该漏洞允许在服务器上执行任意命令并从Internet渗透到公司的本地网络。

如果潜在的攻击者已经获得对网络的访问权限,则平均需要两天时间才能完全控制基础架构。专家估计,金融公司免受此类攻击的总体保护水平非常低。特别是,在十分之八的银行中,安装在工作站和服务器上的防病毒保护系统并不能阻止诸如secretsdump之类的专用实用程序的启动。还存在一些已知的漏洞,这些漏洞使您可以完全控制Windows。几年前,安全公告MS17-010(用于WannaCry攻击)和(!)MS08-067被认为是其中一些。

在进行内部渗透测试的所有组织中,他们设法在公司基础结构中获得最大的特权。一家公司的最大攻击媒介数是5。在许多测试项目中,目标是访问ATM网络,卡处理服务器(演示了盗用资金的可能性),高层管理工作站和防病毒保护控制中心。在所有情况下,向测试客户展示了这些目标的实现。

发现


在其中一种情况下的渗透测试的结果是识别了早期黑客的痕迹。也就是说,银行不仅受到真正的攻击者的攻击,而且无法及时发现攻击。

鉴于这些事实,以及普遍较低的安全性,我们建议定期对IS员工进行渗透测试和培训,作为红色团队的一部分。这将有可能检测并及时消除关键资源的潜在攻击媒介,并在发生真正的网络攻击时制定IS服务的措施,并提高所使用的保护和监视工具的有效性。

专业黑客已经学会了谨慎地将自己的存在隐藏在受感染公司的基础架构中。通常,只有在深入分析网络流量以及对应用程序级别的协议进行分析的过程中,才能检测到它们的巧妙行为。网络流量分析(NTA)类系统解决了此问题。

2019 36 NTA- PT Network Attack Discovery. , .

, 27 14:00 Positive Technologies « 2019 » , . , , .

, .

More articles:


All Articles