.PNG)
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.
Задача
Национальный российский научно-исследовательский университет в сфере аэрокосмических технологий обратился в КРЕДО-С с целью найти все известные и неизвестные уязвимости и недостатки своих информационных систем, способные привести к нарушению конфиденциальности, целостности и доступности информации в ИТ-инфраструктуре организации. Задача проекта — определить уязвимости и недостатки различного уровня риска в информационных системах, способные привести к нарушению свойств информационной безопасности, и сформировать рекомендации по повышению уровня защищенности. Срок реализации проекта — 4 квартал 2023 года.
Решение
Специалисты КРЕДО-С предложили провести тестирование на проникновение (пентест) с использованием метода «серого ящика». Метод предполагает целенаправленную и эффективную оценку безопасности сети, при этом внутреннее устройство ИТ-системы частично известно сотрудникам, выполняющим работы. Этапы реализации проекта: 1) сбор сведений о структуре и всех компонентах исследуемой системы заказчика; 2) выявление уязвимостей в системе с помощью автоматического сканирования с ручной верификацией результатов; 3) тест на проникновение по векторам, согласованным с заказчиком — попытка получения доступа к данным и интерфейсам управления; 4) анализ результатов выполнения атак, сбор и обобщение данных.
По результатам проведённых работ для заказчика был сформирован развёрнутый отчёт, содержащий: оценку состояния защищённости системы; описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности использования, описание последствий эксплуатации потенциальным нарушителем; рекомендации по устранению выявленных уязвимостей, в том числе рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений для используемого программного обеспечения.
Результаты
Проверены все системы и цифровые сервисы на уязвимости
Определены «слабые места» ИТ-инфраструктуры университета
Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Результаты учтены при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117
Задействованные услуги
Другие проекты
Пентест ИТ-инфраструктуры российского международного аэропорта
Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.
- Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
- В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
- Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Пентест и анализ защищённости компании онлайн-ритейла
Тестирование на проникновение и анализ защищённости ИТ-инфраструктуры компании дистанционной торговли с десятками тысяч покупателей.
- Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
- Выявлены и устранены слабые места в системе информационной безопасности
- Выполнено повторное тестирование с учётом принятых мер защиты — подтверждено закрытие критичных уязвимостей
Защита ГИС «Контингент обучающихся» Ростовской области
Защита государственной ИС учёта обучающихся — 5 серверов в ЦОД «Ростелеком», 2 000 АРМ Ростовской области. Аттестация по ФСТЭК № 17.
- Развёрнута защищённая VPN-сеть между ЦОД Москвы и 2 000 рабочими местами
- Обеспечена защита персональных данных несовершеннолетних обучающихся
- ГИС аттестована по требованиям приказа ФСТЭК № 17