Образовательная деятельность

2023


Услуги и решения:

Пентест (Pentest)
Национальный российский научно-исследовательский университет в сфере аэрокосмических технологий.
Заказчик обратился в КРЕДО-С с целью найти все известные и неизвестные уязвимости и недостатки своих информационных систем, способные привести к нарушению конфиденциальности, целостности и доступности информации в ИТ-инфраструктуре организации.
После общения с заказчиком и проведения анализа, сотрудники КРЕДО-С предложили провести тестирование на проникновение (пентест) с использованием метода «серого ящика».

Тестирование на проникновение, или пентест, — это имитация проникновения в систему с целью выявления уязвимостей в компьютерных системах или сетях и дальнейшая выработка рекомендаций по их устранению.

Метод «Серого ящика» предполагает целенаправленную и эффективную оценку безопасности сети, при этом, внутреннее устройство ИТ-системы частично известно сотрудникам, выполняющим работы.

Задача проекта
Определить уязвимости и недостатки различного уровня риска в информационных системах, способные привести к нарушению свойств информационной безопасности, и сформировать рекомендации по повышению уровня защищенности. Срок реализации проекта - 4 квартал 2023 года.
Этапы реализации проекта:

1. Cбор сведений о структуре и всех компонентах исследуемой системы заказчика

2. Выявление уязвимостей в системе с помощью автоматического сканирования с ручной верификацией результатов

3. Тест на проникновение по векторам, согласованным с Заказчиком. Попытка получения доступа к данным и интерфейсам управления

4. Анализ результатов выполнения атак, сбор и обобщение данных.

По результатам проведенных работ для заказчика был сформирован развернутый отчет, содержащий:

1. Оценку состояния защищенности Системы

2. Описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, описание последствий эксплуатации потенциальным нарушителем выявленных уязвимостей

3. Рекомендации по устранению выявленных уязвимостей, в том числе рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений для используемого программного обеспечения.

Команда специалистов КРЕДО-С успешно провела тестирование на проникновение в ИТ-инфраструктуре заказчика. Были проверены все системы и используемые цифровые сервисы на уязвимости. Благодаря проведенным работам клиент смог определить «слабые места» и теперь совместно с КРЕДО-С примет меры по их устранению, что в свою очередь, поможет сохранить конфиденциальные данные, репутацию и бюджет организации.