.PNG)
Анализ защищённости НПП авиакосмического приборостроения: реакция на рост атак
Комплексный анализ защищённости ИТ-инфраструктуры научно-производственного предприятия авиакосмического приборостроения — инициирован после выявления роста числа атак через непрерывный мониторинг КРЕДО-С.
Коротко
- — Год 2024, НПП авиакосмического приборостроения — 2 000 сотрудников, системы на тысячах гражданских и военных ЛА.
- — Анализ защищённости инициирован после выявления роста атак через действующий SOC-мониторинг КРЕДО-С.
- — Инвентаризация активов, сканирование, анализ конфигураций и политик доступа; результат — стратегия развития ИБ предприятия.
Задача
Научно-производственное предприятие, специализирующееся на производстве летательных аппаратов и космического оборудования. Системы, разработанные и произведённые компанией, эксплуатируются на тысячах гражданских и военных самолётов. Штат — около 2 000 сотрудников.
Поддержание высокого уровня информационной защищённости критично для предприятия. Благодаря непрерывному мониторингу, выполняемому КРЕДО-С, был выявлен рост числа атак на инфраструктуру, что стало предпосылкой для проведения комплексного анализа защищённости.
Этот кейс для вас, если…
- Вы — научно-производственное предприятие ОПК или авиакосмической отрасли с высокими требованиями к конфиденциальности данных.
- SOC-мониторинг зафиксировал рост числа подозрительных событий — нужна глубокая оценка состояния защищённости.
- Сеть предприятия состоит из нескольких сегментов с разными требованиями к защите — нужна проверка сегментации.
- Нужно разработать стратегию ИБ на 2–3 года с учётом актуальных угроз и текущего состояния защищённости.
- Хотите систематизировать работу по ИБ: от реактивного к проактивному подходу.
Анализ защищённости как реакция на сигналы мониторинга
Непрерывный SOC-мониторинг даёт ответ на вопрос «что происходит сейчас», но не объясняет «где именно уязвима инфраструктура». Анализ защищённости — следующий шаг: систематическая инвентаризация слабых мест, которые могут быть использованы для развития атак, уже проявляющихся в событиях мониторинга.
Инвентаризация информационных активов — фундамент анализа. Нельзя защитить то, что не зафиксировано: неизвестные хосты, забытые сервисы, теневые IT-ресурсы. Инвентаризация формирует актуальный периметр защиты и исключает «слепые зоны».
Для НПП критична проверка сегментации сети и политик управления доступом: производственный сегмент (КБ, САПР) должен быть изолирован от административного (бухгалтерия, HR) и корпоративного (почта, интернет). Нарушения сегментации — один из ключевых путей горизонтального перемещения в сложных атаках.
Итог анализа защищённости — не только список уязвимостей, но и стратегия их устранения с учётом приоритетов, ресурсов команды и ограничений производственного процесса. Это переход от списка «что сломано» к плану «что делать и в каком порядке».
Решение
Анализ защищённости включал: инвентаризацию информационных активов и определение границ оценки; автоматизированное и ручное сканирование ИТ-инфраструктуры на уязвимости; анализ конфигурации сетевого оборудования, серверов и средств защиты; проверку политик управления доступом и сегментации сети; оценку устойчивости к типовым векторам атак; подготовку рекомендаций по усилению защищённости с приоритизацией по критичности. Результаты анализа позволили разработать стратегию дальнейшего развития системы информационной безопасности предприятия.
Методология комплексного анализа защищённости НПП
Анализ охватил несколько направлений работ. Конкретные параметры инфраструктуры — под NDA.
Инвентаризация активов
Формирование актуального перечня информационных активов: сети, серверы, рабочие станции, специализированные системы (САПР, PLM). Определение границ оценки и приоритетных объектов защиты.
Автоматизированное и ручное сканирование
Сканирование ИТ-инфраструктуры на CVE с оценкой по CVSS v3.1 и БДУ ФСТЭК России. Ручная верификация находок и поиск уязвимостей, не выявляемых автоматически (логические ошибки конфигурации, небезопасные практики управления доступом).
Анализ конфигурации оборудования и СЗИ
Проверка настроек сетевого оборудования (маршрутизаторы, коммутаторы, межсетевые экраны), серверов и средств защиты. Выявление несоответствий между задекларированными и реальными политиками безопасности.
Проверка политик доступа и сегментации
Анализ разграничения доступа между сегментами сети, политик Active Directory, матрицы прав доступа к информационным системам. Выявление избыточных привилегий и нарушений принципа наименьших привилегий.
Стратегия развития ИБ
По результатам всех работ формируется стратегия развития системы ИБ: приоритизированный план устранения уязвимостей, рекомендации по архитектурным изменениям, предложения по внедрению дополнительных средств защиты.
Состав и глубина анализа адаптируются под специфику предприятия и его производственные процессы.
Результаты
Выявлены уязвимости и определены направления усиления защищённости
Проведён анализ конфигурации сетевого оборудования и средств защиты
Разработана стратегия развития системы ИБ предприятия
Подготовлены рекомендации по устранению уязвимостей с приоритизацией
Результаты анализа защищённости использованы при расчёте показателя КЗИ по приказу ФСТЭК №117
Закройте уязвимости до следующей волны атак
Регуляторный контекст: НПП авиакосмической отрасли
Научно-производственные предприятия авиакосмической отрасли как правило являются субъектами КИИ и работают в зоне требований ФСТЭК и ФСБ России.
187-ФЗ «О безопасности КИИ»
Действует с 01.01.2018Предприятия авиакосмической отрасли относятся к субъектам КИИ. Требуют категорирования объектов КИИ, построения систем безопасности и взаимодействия с ГосСОПКА.
Приказ ФСТЭК России № 239
Требования по обеспечению безопасности значимых объектов КИИ. Включает меры по анализу угроз, уязвимостей и периодической оценке защищённости.
Методика оценки угроз ФСТЭК (05.02.2021)
Обязательный методический документ для разработки и актуализации модели угроз. Результаты анализа защищённости служат входными данными для модели.
Приказ ФСТЭК России № 17
Требования к защите государственных информационных систем. Применимо к ИС предприятия в части работы с государственными заказами.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика расчёта показателя КЗИ. Результаты анализа защищённости учитываются при расчёте показателя.
Соответствие нормативным требованиям подтверждается по результатам аудита. Анализ защищённости — рабочий инструмент, но не акт проверки.
Почему НПП авиакосмического профиля под прицелом атак
Предприятия, производящие системы для ЛА военного и гражданского назначения, — цели высокоприоритетных целевых атак со стороны иностранных государственных структур и промышленных конкурентов.
- Промышленный шпионаж: технические характеристики авиационных систем, конструкторская документация, результаты испытаний — ценнейший актив для иностранных разведок. Целенаправленные хакерские атаки на предприятия ОПК документируются НКЦКИ и ведущими российскими ИБ-компаниями.
- Растущее число атак на инфраструктуру, зафиксированное SOC-мониторингом, — типичный признак целенаправленной разведки: злоумышленники изучают периметр, ищут точки входа, накапливают информацию перед активной фазой атаки.
- Характерные техники промышленного шпионажа: вредоносные вложения в адресных письмах, компрометация поставщиков и подрядчиков, скрытые прокси-каналы управления, поэтапный вывод данных через нестандартные протоколы, накопление похищенных данных перед отправкой.
- Атаки на контрагентов и цепочки поставок: субподрядчики, поставщики компонентов и ПО имеют доступ в периметр основного предприятия. Компрометация менее защищённого поставщика — классический вектор для входа в защищённую сеть.
Источники:
- — MITRE ATT&CK — база техник злоумышленников, включая промышленный шпионаж.
- — Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
- — Positive Technologies — аналитика целевых атак на российские предприятия ОПК.
- — Банк данных угроз ФСТЭК России (БДУ) — актуальные угрозы и уязвимости.
Частые вопросы
Как SOC-мониторинг связан с инициацией анализа защищённости?
SOC-мониторинг выявляет рост подозрительных событий — сигнал о том, что кто-то активно изучает или атакует инфраструктуру. Но мониторинг не отвечает на вопрос, через какие конкретные уязвимости атака была бы успешна. Анализ защищённости отвечает на этот вопрос и позволяет устранить слабые места до того, как они будут использованы.
Почему для НПП важна именно проверка сегментации сети?
Производственный сегмент (САПР, PLM-системы с конструкторской документацией) должен быть изолирован от административного и интернет-сегмента. Если сегментация нарушена или настроена некорректно, злоумышленник, скомпрометировавший корпоративный ноутбук сотрудника, получает путь к производственным системам. Именно сегментация — ключевая мера, замедляющая горизонтальное перемещение.
Что входит в стратегию развития ИБ по итогам анализа?
Стратегия включает: приоритизированный план устранения выявленных уязвимостей (с разбивкой на быстрые меры и долгосрочные архитектурные изменения); рекомендации по доработке политик управления доступом; предложения по дополнительным средствам защиты; план периодического анализа защищённости. Всё это — конкретные шаги, а не абстрактные рекомендации.
Можно ли проводить анализ защищённости без остановки производства?
Да. КРЕДО-С согласовывает время и интенсивность сканирования с ИТ-командой предприятия. Активные воздействия на производственные сегменты (SCADA, управляющие системы) проводятся с особой осторожностью или в специально выделенных тестовых окнах. Безопасность производственного процесса — первый приоритет.
Как часто нужен анализ защищённости для НПП?
Для предприятий, являющихся субъектами КИИ, Приказ ФСТЭК №239 требует периодической оценки. Практика: полный анализ защищённости — раз в год, после значимых изменений инфраструктуры. Непрерывный SOC-мониторинг между оценками обеспечивает оперативное выявление новых угроз.
Сколько стоит анализ защищённости НПП?
Стоимость зависит от числа хостов, состава работ (инвентаризация, сканирование, анализ конфигураций, политики доступа) и необходимости выезда специалистов. Предварительная оценка — через калькулятор на сайте или по заявке.
Смежные задачи, с которыми помогаем
Задействованные услуги
Другие проекты
Анализ защищённости ИС авиастроительной корпорации: 2 000 специалистов, 1 300 изделий
Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с более чем полувековой историей: внешний и внутренний периметры, политики СЗИ, приоритизация уязвимостей по критичности.
- Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и рекомендациями
- Подготовлен Технический отчёт с детальными рекомендациями по устранению уязвимостей — достаточными для самостоятельного устранения штатными специалистами
- Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Пентест четырёх типов для компании онлайн-ритейла: периметр, веб, сеть, Wi-Fi
Комплексный пентест компании онлайн-ритейла: тестирование внешнего периметра, веб-приложений, внутренней сети и беспроводной сети с повторным тестом после устранения уязвимостей.
- Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
- Выявлены и устранены слабые места в системе информационной безопасности
- Выполнено повторное тестирование с учётом принятых мер — подтверждено закрытие критичных уязвимостей
SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.
- За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
- Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
- Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение