Неделя на взлом

Именно за такой срок эксперты компании Positive Technologies могли бы взломать любой банк, если бы находились на месте злоумышленников.

Своей точкой зрения на проблемы кибербезопасности в российских кредитных организациях они поделились в ходе пресс-конференции, которая прошла 18 февраля на XII Уральском форуме «Информационная безопасность финансовой сферы».

Заместитель генерального директора по развитию бизнеса компании Positive Technologies Борис Симис отметил, что аудируя более половины российских банков, компания наработала большой экспертный срез. Именно это позволяет говорить о том, что на взлом банка экспертам Positive Technologies понадобилось бы не больше недели. «Конечно, есть банки, которые лучше защищены от взлома, – сказал Борис Симис. – Для того чтобы их взломать, надо обладать квалификацией спецслужбы или очень продвинутой мафиозной группировки. Есть банки, где это сделать проще. Но если злоумышленник так или иначе попадает во внутренний периметр, то атаковать самые чувствительные сегменты ему довольно легко».

Директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies Алексей Новиков отметил, что если посмотреть на срез действий злоумышленника, то можно выделить определенное количество этапов. Например, этап разведки, который позволяет получить довольно много информации. Данные собираются по итогам анализа публичных источников: файлов конфигурации систем, учетных данных для доступа СУБД, IP-адресов банковских систем, персональных данные сотрудников и клиентов, значений ключа APP_KEY приложения, листингов директорий.

Борис Симис привел показательный пример, когда специалисты, писавшие прикладное ПО для банка, как и все программисты держали свои исходники на внешнем ресурсе, и в этом исходнике были зашиты все учетные записи доступа (логины, пароли) этого банка.

Алексей Новиков рассказал о том, что Positive Technologies постоянно оценивает, какая парольная политика используется в организациях. «К сожалению, с парольной политикой все очень плохо, – отметил эксперт. – Вроде службы ИТ и ИБ пытаются её усложнять, но пароли наподобие названия месяца и года все равно встречаются. Хитрости вроде смены раскладки не работают».

«Если мы говорим о внешнем пентесте, то минимальное количество шагов, которые необходимо совершить злоумышленнику для проникновения в локальную сеть, составляет всего два шага, максимум, с которым мы сталкивались, – 5 шагов. Чем больше злоумышленнику надо сделать шагов, тем больше шансов, что его служба ИБ успеет включить план реагирования и ликвидировать инцидент до достижения критических рисков. Чем меньше шагов необходимо выполнить, тем у службы безопасности меньше шансов обнаружить злоумышленника», – отметил Алексей Новиков.

В одном из исследованных случаев банк не только был уязвим, а уже был атакован реальным злоумышленникоми не смог выявить атаку.

Среди типов успешных атак эксперт выделил подбор учетных данных (31%), атаки на веб-приложения (25%), эксплуатацию известной уязвимости ПО (22%), легитимные действия (17%), атаки на инфраструктурные службы (5%).

Согласно статистике Positive Technologies, хотя бы одна атака с использованием известного эксплойта успешна в каждом втором банке. В среднем по два вектора атаки и по 19 попыток успешных атак разных типов приходится на банк.

18 февраля, 2020