.PNG)
Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS
Тестирование на проникновение ИТ-инфраструктуры международного аэропорта — объекта КИИ: проверено более 4 000 АРМ, симулирована DoS-атака, выявлены вредоносные программы на основе Petya и WannaCry.
Коротко
- — Год 2023, объект КИИ — международный аэропорт.
- — Проверено более 4 000 АРМ, симулирована DoS-атака; выявлены активные образцы вредоносного ПО в устаревших ОС.
- — Разработана модель угроз ИБ; рекомендации реализованы — инфраструктура работает без инцидентов.
Задача
Российский международный аэропорт. Информационная безопасность инфраструктуры аэропорта — первый приоритет, поскольку от неё зависит работоспособность объекта. Уязвимости в информационных системах влекут риски для безопасности воздушных судов, пассажиров и непрерывности авиасообщения.
В компании приняли решение запустить проект, который позволит выявить уязвимости ИТ-инфраструктуры, наметить зоны роста в части информационной безопасности и минимизировать риски.
Этот кейс для вас, если…
- Вы — объект критической информационной инфраструктуры (транспорт, аэропорт, логистика).
- В инфраструктуре используются устаревшие ОС и оборудование, которые сложно заменить без остановки процессов.
- Нет актуальной модели угроз ИБ или она не обновлялась более года.
- Нужно подтвердить уровень защищённости перед регулятором (ФСТЭК, отраслевые надзорные органы).
- Планируете масштабировать проект ИБ на несколько предприятий холдинга.
Методология пентеста крупной инфраструктуры
Тестирование на проникновение (пентест) — санкционированная симуляция действий злоумышленника для выявления реальных путей проникновения. КРЕДО-С проводит пентест по отраслевой методологии тестирования на проникновение с учётом требований ФСТЭК России к оценке защищённости значимых объектов КИИ.
Для крупной инфраструктуры (тысячи АРМ) особую роль играет покрытие: тестирование охватывает не только периметр, но и внутренние сегменты, рабочие станции, сетевое оборудование и возможности горизонтального перемещения. Выезд группы на объект позволяет верифицировать находки непосредственно на месте.
Каждая уязвимость оценивается по методике CVSS v3.1 и сопоставляется с Банком данных угроз ФСТЭК России (БДУ). Уровни критичности (критический / высокий / средний / низкий) определяют приоритеты устранения. Симуляция DoS-атаки тестирует реальную устойчивость инфраструктуры к атакам на доступность.
По итогам формируется модель угроз ИБ — обязательный документ для субъектов КИИ по методическому документу ФСТЭК «Методика оценки угроз» от 05.02.2021. Модель угроз фиксирует актуальные угрозы, нарушителей и их возможности — основа для построения или актуализации системы защиты.
Решение
На старте проекта провели установочную встречу, определили задачи и границы пентеста. В рамках проекта эксперты КРЕДО-С протестировали на уязвимости больше 4 000 автоматизированных рабочих мест (АРМ), а также сымитировали DoS-атаку. Особенности проекта: часть работ команда экспертов выполнила на объекте заказчика.
В операционных системах Windows XP выявили вредоносные программы, на основе которых созданы известные российские вирусы — Petya и WannaCry. Критичные уязвимости также обнаружили в оборудовании. Результатом комплексного анализа уровня защищённости стало формирование модели угроз информационной безопасности — документа, который фиксирует потенциальные уязвимости и содержит рекомендации по их устранению.
Следование рекомендациям позволило минимизировать риски информационной безопасности и обеспечить бесперебойную работу ИТ-инфраструктуры.
Структура работ по пентесту аэропорта
Проект выполнен в несколько этапов, часть работ — непосредственно на объекте заказчика. Детали конкретной инсталляции — под NDA.
Планирование и согласование границ
Установочная встреча с командой ИБ заказчика: определение периметра тестирования (сети, серверы, АРМ, оборудование), согласование допустимых техник и временных окон, исключений, порядка уведомления при обнаружении критичных уязвимостей.
Сканирование периметра и внутренних сегментов
Автоматизированное и ручное сканирование: инвентаризация активных хостов, открытых сервисов, устаревшего ПО и незакрытых CVE. Особое внимание — узлам с Windows XP и другими legacy-ОС, неполучающими обновления безопасности.
Эксплуатация уязвимостей и симуляция DoS
Попытки эксплуатации по согласованным векторам: получение учётных данных, горизонтальное перемещение по сети, симуляция DoS-атаки для оценки устойчивости сервисов к нагрузке.
Анализ вредоносного ПО
Верификация находок на месте: выявлены образцы вредоносных программ, основанных на коде Petya и WannaCry, в системах с Windows XP. Для каждого образца определён класс угрозы и вектор потенциальной атаки.
Модель угроз и отчётность
Разработана модель угроз ИБ по методике ФСТЭК. Технический отчёт содержит PoC для каждой критичной уязвимости. Аналитический отчёт — приоритизированный план устранения уязвимостей.
Методология и состав работ адаптируются под специфику объекта, состав инфраструктуры и допустимые векторы тестирования.
Результаты
Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Минимизированы риски ИБ и обеспечена бесперебойная работа ИТ-инфраструктуры
Аэропорт входит в состав холдинга — в планах запустить проект комплексного анализа на остальные предприятия
Результаты пентеста использованы при расчёте показателя КЗИ по приказу ФСТЭК №117
Проверьте инфраструктуру КИИ до инцидента
Регуляторный контекст: пентест как обязательный элемент защиты КИИ
Аэропорты относятся к субъектам критической информационной инфраструктуры в сфере транспорта. Нормативные требования устанавливают обязательную оценку защищённости.
187-ФЗ «О безопасности КИИ»
Действует с 01.01.2018, постоянно актуализируетсяОбязывает субъектов КИИ обеспечивать безопасность своих объектов, категорировать их и взаимодействовать с ГосСОПКА.
Приказ ФСТЭК России № 239
Требования по обеспечению безопасности значимых объектов КИИ. Включает меры по анализу угроз и уязвимостей, периодическую оценку защищённости.
Приказ ФСТЭК России № 17
Требования к защите государственных информационных систем — применимо к ИС аэропорта, работающим с государственными данными.
Методика оценки угроз ФСТЭК (05.02.2021)
Обязательный методический документ для разработки модели угроз по 187-ФЗ и Приказу 239. Пентест — инструмент верификации актуальности угроз.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика расчёта показателя защищённости КЗИ. Результаты пентеста напрямую влияют на значение показателя.
Соответствие нормативным требованиям подтверждается по результатам аудита уполномоченной организацией.
Угрозы транспортной инфраструктуре: актуальный контекст
Аэропорты и транспортные объекты — цели высокого интереса для кибератак: успешная атака нарушает работу критической инфраструктуры и может угрожать безопасности пассажиров.
- Целевые атаки на объекты транспортной инфраструктуры используют: компрометацию рабочих мест операторов через фишинг, эксплуатацию уязвимостей в legacy-системах (Windows XP, неактуализированные SCADA), атаки на подрядчиков и технических партнёров аэропорта.
- Характерные техники атак на аэропорты: эксплуатация уязвимостей публичных сервисов, горизонтальное перемещение внутри сети через удалённые службы, программы-вымогатели с блокировкой ИТ-систем, атаки на отказ в обслуживании.
- Устаревшие ОС — значимый вектор атаки: Windows XP не получает обновлений безопасности с 2014 года. Однако в промышленных и транспортных системах замена legacy-ОС часто блокируется требованиями сертификации оборудования.
- Программы-вымогатели (шифровальщики) всё чаще применяются против операционных систем инфраструктуры — остановка ИТ-систем аэропорта создаёт давление для выплаты выкупа. Ключевой ответ — изоляция legacy-сегментов и детекция горизонтального перемещения.
Источники:
- — MITRE ATT&CK for ICS — база техник атак на промышленные системы.
- — Positive Technologies — аналитика атак на транспортную отрасль.
- — Банк данных угроз ФСТЭК России (БДУ) — реестр актуальных уязвимостей и угроз КИИ.
- — Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — отчёты по угрозам КИИ.
Частые вопросы
Как пентест помогает объектам КИИ соответствовать требованиям ФСТЭК?
Приказ ФСТЭК № 239 обязывает субъектов КИИ периодически оценивать защищённость своих объектов и актуализировать модель угроз. Пентест — практическая верификация актуальности угроз: он подтверждает или опровергает предположения модели угроз реальными попытками эксплуатации. Результаты пентеста используются при расчёте показателя КЗИ по Приказу ФСТЭК № 117.
Как проходит пентест на объекте с legacy-системами (Windows XP)?
КРЕДО-С выделяет специалистов для работы непосредственно на объекте. Legacy-системы проверяются в первую очередь — они, как правило, содержат наиболее критичные уязвимости. Для Windows XP применяется ручная верификация: автоматизированные сканеры могут пропускать специфичные уязвимости или вызывать нестабильность систем без ручного контроля.
Насколько безопасна симуляция DoS-атаки для работающего аэропорта?
Все активные воздействия, включая DoS-симуляцию, проводятся строго в согласованных временных окнах и только на изолированных сегментах или резервных системах, чтобы не нарушать операционную деятельность. Протокол проведения DoS-теста письменно согласовывается с технической командой заказчика до начала работ.
Что входит в отчёт по результатам пентеста?
КРЕДО-С готовит два документа: Технический отчёт — с описанием каждой уязвимости, PoC (доказательством эксплуатации), оценкой CVSS v3.1 и ссылкой на БДУ ФСТЭК; Аналитический отчёт — с общей оценкой уровня защищённости, приоритизированным планом устранения уязвимостей и рекомендациями по улучшению архитектуры.
Можно ли провести пентест одного предприятия и масштабировать на холдинг?
Да. Проект для одного предприятия фиксирует методологию, шаблоны отчётов и согласованную глубину тестирования. При масштабировании на другие предприятия холдинга КРЕДО-С адаптирует периметр, но использует единую методологию — это ускоряет каждый последующий проект.
Сколько стоит пентест крупной инфраструктуры?
Стоимость зависит от числа тестируемых систем (хосты, АРМ, приложения), метода тестирования (чёрный, серый, белый ящик), состава работ (внешний периметр, внутренняя сеть, беспроводные сети, приложения). Предварительную оценку можно получить через калькулятор на сайте или оставив заявку.
Смежные задачи, с которыми помогаем
Задействованные услуги
Другие проекты
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.
- Проверены все системы и цифровые сервисы на уязвимости
- Определены «слабые места» ИТ-инфраструктуры университета
- Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Защита объектов КИИ международного аэропорта: актуализация категорий и проектирование СБЗОКИИ
Актуализация категорий значимых объектов КИИ и разработка систем безопасности одного из крупнейших международных аэропортов Москвы — в сжатые сроки в условиях актуальных угроз.
- Актуализированы сведения о категориях значимых объектов КИИ аэропорта с учётом текущих реалий ИБ
- Разработана организационная и проектная документация на системы безопасности объектов КИИ
- Заказчик получил документацию для внедрения организационных и технических мер с учётом особенностей объектов КИИ
Пентест четырёх типов для компании онлайн-ритейла: периметр, веб, сеть, Wi-Fi
Комплексный пентест компании онлайн-ритейла: тестирование внешнего периметра, веб-приложений, внутренней сети и беспроводной сети с повторным тестом после устранения уязвимостей.
- Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
- Выявлены и устранены слабые места в системе информационной безопасности
- Выполнено повторное тестирование с учётом принятых мер — подтверждено закрытие критичных уязвимостей
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение