КЛИЕНТ
ГБУ КО «Калугаинформтех» — государственное бюджетное учреждение Калужской области, обеспечивающее работу информационных систем органов исполнительной власти региона. Учреждение является технологическим оператором, через инфраструктуру которого проходят значимые информационные потоки. От устойчивости и защищённости этой инфраструктуры зависит функционирование региональных государственных сервисов.
ОТРАСЛЬ
Государственный сектор и региональная цифровая инфраструктура. Особенность отрасли — масштаб и публичность последствий любых инцидентов. Атака на инфраструктуру регионального оператора может затронуть тысячи государственных служащих и сотни тысяч граждан.
ЗАДАЧА
Перед нами стояла задача оказания услуг по оценке уровня защищённости информационной инфраструктуры для органа исполнительной власти Калужской области. Объём задач включал: выявление и консолидацию стратегических рисков; выявление уязвимостей информационной инфраструктуры; выявление недостатков применяемых средств защиты; проверку практической возможности использования уязвимостей; разработку маршрутной карты по модернизации инфраструктуры.
По сути, речь идёт о полноценном пентесте государственной инфраструктуры — как провести пентест в государственном органе так, чтобы получить объективную картину и практически значимые рекомендации, а не формальный отчёт «для галочки».
ПРОБЛЕМАТИКА
- Ключевая проблематика заключалась в необходимости получить объективную, основанную на реальных свидетельствах оценку уровня защищённости.
- Внутренние оценки и самоаудит, как правило, не дают полной картины: своя команда либо не имеет достаточно времени и инструментов для глубокого анализа, либо неосознанно «затушёвывает» собственные узкие места. Без внешней независимой команды пентестеров с разнопрофильной экспертизой невозможно адекватно описать поверхность атаки.
РЕШЕНИЕ
Для проведения пентеста была сформирована коллаборация пентестеров различных направлений: специалисты по сетевому пентесту, тестированию веб- приложений, анализу защищённости беспроводных сетей, социальной инженерии, анализу внутренней инфраструктуры и Active Directory.
- На первом этапе была проведена работа по консолидации стратегических рисков.
- На втором — идентификация уязвимостей.
- На третьем — проверка практической возможности их использования с подготовкой proof-of-concept.
- На четвёртом — формирование отчётных документов.
- На пятом — разработка маршрутной карты по модернизации.
РЕЗУЛЬТАТЫ
Заказчик получил отчётные документы для предоставления Правительству Российской Федерации, ФСТЭК и ФСБ России.
- Для руководства — получена объективная картина уровня защищённости и обоснованный план действий по его улучшению.
- Для службы ИБ — получена системная база для аргументации перед руководством, вместо отдельных «индивидуальных мнений» имеется отчёт независимых экспертов.
Отработана модель внешнего независимого пентеста, которая может тиражироваться и на другие региональные органы власти. В перспективе — проведение повторной оценки уровня защищённости для отслеживания динамики и подтверждения результатов модернизации.