.PNG)
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.
Коротко
- — Год 2023, Q4 — национальный аэрокосмический университет.
- — Пентест методом «серого ящика»: четыре этапа, автоматизированное и ручное сканирование, тестирование по согласованным векторам атак.
- — Выявлены уязвимости с ранжированием по критичности; намечены меры по защите персональных данных студентов и сотрудников.
Задача
Национальный российский научно-исследовательский университет в сфере аэрокосмических технологий обратился в КРЕДО-С с целью найти все известные и неизвестные уязвимости и недостатки своих информационных систем, способные привести к нарушению конфиденциальности, целостности и доступности информации в ИТ-инфраструктуре организации. Задача проекта — определить уязвимости и недостатки различного уровня риска в информационных системах, способные привести к нарушению свойств информационной безопасности, и сформировать рекомендации по повышению уровня защищённости. Срок реализации проекта — 4 квартал 2023 года.
Этот кейс для вас, если…
- Вы — образовательная организация, обрабатывающая персональные данные студентов и сотрудников (152-ФЗ, ГИС).
- Нет понимания, насколько текущие меры защиты реально устойчивы к атаке.
- Нужно подтвердить уровень защищённости перед регулятором (ФСТЭК, Роскомнадзор) или внутренней комиссией.
- Планируете выстроить или обновить систему ИБ — пентест даст приоритизированный план действий.
- Хотите выявить и устранить уязвимости до того, как ими воспользуется злоумышленник.
Метод «серого ящика»: баланс реализма и эффективности
Тестирование на проникновение методом «серого ящика» — наиболее распространённый подход в корпоративных и образовательных средах. Тестировщик получает частичный контекст об инфраструктуре (схожий с уровнем осведомлённости внутреннего злоумышленника или скомпрометированного подрядчика), что позволяет реалистично смоделировать угрозу без лишних временных затрат на полную разведку.
Четыре последовательных этапа: 1) Сбор сведений — сетевая топология, перечень систем, открытые сервисы; 2) Сканирование — автоматизированный поиск CVE с ручной верификацией ложных срабатываний и ручной поиск логических уязвимостей; 3) Эксплуатация — попытки проникновения по согласованным векторам с документированием каждого шага; 4) Отчёт — ранжирование уязвимостей по CVSS v3.1 и БДУ ФСТЭК, рекомендации по устранению.
Для образовательных организаций отдельный акцент — защита персональных данных. ИСПДн университета обрабатывает данные студентов, преподавателей и абитуриентов. Компрометация этих данных создаёт не только юридические риски (152-ФЗ), но и репутационный ущерб.
Рекомендации по устранению в отчёте структурированы по трём уровням: изменение конфигурации (быстрые меры), обновление ПО (плановые меры), архитектурные изменения (стратегические меры). Это позволяет команде ИБ университета самостоятельно приоритизировать и реализовывать устранение без сторонних подрядчиков.
Решение
Специалисты КРЕДО-С предложили провести тестирование на проникновение (пентест) с использованием метода «серого ящика». Метод предполагает целенаправленную и эффективную оценку безопасности сети, при этом внутреннее устройство ИТ-системы частично известно специалистам, выполняющим работы. Этапы реализации проекта: 1) сбор сведений о структуре и всех компонентах исследуемой системы заказчика; 2) выявление уязвимостей с помощью автоматического сканирования с ручной верификацией результатов; 3) тест на проникновение по векторам, согласованным с заказчиком; 4) анализ результатов, сбор и обобщение данных.
По результатам сформирован отчёт, содержащий оценку состояния защищённости, описание уязвимостей с ранжированием по степени опасности, вероятности использования и возможным последствиям, а также рекомендации по устранению.
Этапы пентеста университетской ИТ-инфраструктуры
Проект реализован в четыре этапа. Конкретные параметры инфраструктуры и результаты тестирования — под NDA.
Сбор сведений об инфраструктуре
Формирование полного перечня компонентов инфраструктуры: сети, серверы, сервисы, приложения, точки входа. При «сером ящике» часть информации предоставляется заказчиком, часть добывается автоматизированными инструментами разведки.
Автоматизированное сканирование с верификацией
Сканирование на известные CVE с оценкой по CVSS v3.1 и сопоставлением с БДУ ФСТЭК России. Ручная верификация каждой находки: устранение ложных срабатываний, проверка реальной эксплуатируемости.
Тестирование по согласованным векторам
Попытки проникновения по векторам, согласованным с заказчиком заранее: получение учётных данных, повышение привилегий, доступ к чувствительным данным (ИСПДн). Каждый шаг документируется для воспроизведения в отчёте.
Анализ результатов и отчётность
Сводный отчёт: оценка общего уровня защищённости системы; описание уязвимостей с уровнями критичности, вероятностью эксплуатации и последствиями; рекомендации по устранению — с разбивкой на конфигурационные, программные и архитектурные меры.
Методология адаптируется под состав инфраструктуры и согласованные с заказчиком границы тестирования.
Результаты
Проверены все системы и цифровые сервисы на уязвимости
Определены «слабые места» ИТ-инфраструктуры университета
Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Результаты учтены при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117
Найдите уязвимости до того, как их найдёт злоумышленник
Регуляторный контекст: ИБ в образовательных организациях
Университеты обрабатывают персональные данные и зачастую относятся к государственным информационным системам. Это налагает требования нескольких регуляторов.
152-ФЗ «О персональных данных»
Действует, актуальная редакция 2024 годаОбязывает операторов персональных данных обеспечивать их защиту. Университет — оператор ПДн студентов, преподавателей и сотрудников.
Постановление Правительства № 1119
Требования к защите персональных данных в информационных системах. Устанавливает уровни защищённости ИСПДн (УЗ-1 — УЗ-4).
Приказ ФСТЭК России № 17
Требования к защите государственных информационных систем. Применимо к государственным университетам и их ИС, работающим с государственными данными.
Приказ ФСТЭК России № 21
Состав и содержание организационных и технических мер по защите ПДн в ИСПДн. Основа для защиты персональных данных студентов.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика расчёта показателя защищённости КЗИ. Результаты пентеста учитываются при расчёте показателя.
Соответствие требованиям подтверждается по результатам аудита. Пентест — инструмент оценки и повышения защищённости, но не сертификации.
Угрозы образовательным организациям: контекст атак
Образовательные учреждения — привлекательная цель для кибератак: большая поверхность атаки, студенческий контингент с неоднородными практиками ИБ, ценные исследовательские данные и ПДн.
- Типовые атаки на университеты: фишинг на студентов и сотрудников, эксплуатация уязвимостей публичных порталов (LMS, личные кабинеты), шифровальщики с требованием выкупа, кража исследовательских данных (особенно в аэрокосмических и оборонных направлениях).
- Характерные техники атак на образовательные организации: фишинговые письма студентам и сотрудникам, эксплуатация уязвимостей публичных порталов (личные кабинеты, LMS), компрометация учётных записей с подбором паролей, программы-вымогатели.
- Кража персональных данных — значимый риск: база ПДн тысяч студентов и сотрудников — ценный товар на теневом рынке. Штрафы по 152-ФЗ за утечку ПДн с 2024 года существенно возросли.
- Аэрокосмические и технические университеты располагают разработками, интересными для промышленного шпионажа. Угроза целенаправленных атак со стороны иностранных структур для них значительно выше, чем для гуманитарных институтов.
Источники:
- — Банк данных угроз ФСТЭК России (БДУ) — реестр актуальных уязвимостей и угроз.
- — Positive Technologies — аналитика атак на российские организации.
- — Роскомнадзор — реестр нарушений в сфере персональных данных.
- — Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — оперативная информация по угрозам.
Частые вопросы
Чем метод «серого ящика» отличается от «чёрного» и «белого»?
При «чёрном ящике» тестировщик начинает без каких-либо знаний об инфраструктуре — реалистично, но медленно. При «белом ящике» предоставляется полный доступ к исходному коду, схемам сети и учётным записям — максимальное покрытие. «Серый ящик» — компромисс: частичные знания об инфраструктуре (как у инсайдера или скомпрометированного подрядчика) позволяют протестировать наиболее вероятные векторы атаки при оптимальных временных затратах.
Какие персональные данные студентов наиболее уязвимы?
Как правило, наиболее уязвимы: системы управления обучением (LMS) — учётные данные, оценки, документы; приёмные порталы — ПДн абитуриентов; финансовые системы (стипендии, оплата обучения); кадровые системы — ПДн сотрудников. Пентест проверяет доступность этих данных через реальные векторы атаки.
Насколько пентест нарушает работу университета?
При правильной организации — незначительно. КРЕДО-С согласовывает время и объём активных воздействий (сканирование, эксплуатация) с ИТ-командой заказчика. Тесты, способные влиять на производительность, проводятся вне учебного времени или на резервных сегментах.
Что происходит после пентеста?
Команда ИБ университета получает отчёт с конкретными рекомендациями по устранению уязвимостей — разбитыми на конфигурационные, программные и архитектурные меры. КРЕДО-С при необходимости проводит retesting — повторное тестирование после устранения критичных уязвимостей для подтверждения их закрытия.
Нужно ли проводить пентест регулярно?
Да. Инфраструктура меняется: новые сервисы, обновления ПО, изменения конфигураций. Уязвимости, закрытые год назад, могут появиться вновь. Для организаций, попадающих под требования ФСТЭК или 152-ФЗ, рекомендуется пентест не реже одного раза в год или после значимых изменений инфраструктуры.
Сколько стоит пентест университета?
Стоимость определяется числом тестируемых систем, методом («серый», «чёрный», «белый» ящик) и составом работ. Для образовательных организаций КРЕДО-С предлагает предварительную оценку через калькулятор на сайте — введите ориентировочный размер инфраструктуры и получите диапазон стоимости.
Смежные задачи, с которыми помогаем
Задействованные услуги
Другие проекты
Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS
Тестирование на проникновение ИТ-инфраструктуры международного аэропорта — объекта КИИ: проверено более 4 000 АРМ, симулирована DoS-атака, выявлены вредоносные программы на основе Petya и WannaCry.
- Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
- В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
- Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Пентест четырёх типов для компании онлайн-ритейла: периметр, веб, сеть, Wi-Fi
Комплексный пентест компании онлайн-ритейла: тестирование внешнего периметра, веб-приложений, внутренней сети и беспроводной сети с повторным тестом после устранения уязвимостей.
- Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
- Выявлены и устранены слабые места в системе информационной безопасности
- Выполнено повторное тестирование с учётом принятых мер — подтверждено закрытие критичных уязвимостей
SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.
- За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
- Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
- Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение