Банки не готовы противостоять нарушителям во внутренней сети

Банки не готовы противостоять нарушителям во внутренней сети

Банки не готовы противостоять нарушителям во внутренней сети

Как говорится в исследовании, опубликованном сегодня компанией Positive Technologies, банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, — говорит аналитик Positive Technologies Екатерина Килюшева. — Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основная масса россиян никогда не меняла пароли в соцсетях

Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.

Согласно результатам исследования, которые оказались в распоряжении «Лента Ру», основная масса пользователей (40%) никогда не меняет пароли.

Еще 30% делает это только тогда, когда получает уведомление о том, что учетные данные оказались среди тех, которые «утекли».

Более-менее регулярно меняют пароли только 30% пользователей. При этом 22% делают это через каждые 3-6 месяцев, а 8% — ежемесячно.

Двухфакторную аутентификацию применяет около трети пользователей. Наиболее распространены одноразовые СМС-коды (27 процентов) и звонки для сброса (5 процентов). 

При этом четверть опрошенных не пользуется двухфакторной аутентификацией, хотя знает о такой возможности. Причем почти половина (43%) осознает, что отказ от двухфакторной аутентификации резко снижает уровень безопасности.

При создании паролей пользователи учитывают такие критерии, как легкость запоминания (30%), сложность пароля, включая цифры и символы (23%), а также использование паролей для каждого профиля (17%).

При этом более 35% не знают о возможностях менеджеров паролей, а 26% не видят необходимости в них. Только 8% применяют данный инструмент.

Как показало исследование, 37% пользователей оценивают безопасность своих учетных данных как среднюю, 14% — как высокую.

Проблема с невысоким качеством паролей носит глобальный характер. Как показало исследование NordVPN, на протяжении последних лет доминируют простые и легко подбираемые пароли.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru