КЛИЕНТ
ООО «СФТ Групп» — производственный холдинг с распределённой географией: производственные площадки располагаются в разных регионах России, каждая со своей локальной ИТ-инфраструктурой, собственным подходом к безопасности, своими особенностями производственных процессов. Компания относится к категории крупных промышленных заказчиков с развитой корпоративной ИТ-службой и собственными подразделениями информационной безопасности на уровне управляющей компании. Бизнес-модель предполагает централизованное управление и отчётность при относительно самостоятельной операционной деятельности отдельных площадок, что характерно для промышленных групп, выросших через M&A или пошаговое региональное расширение.Такая модель создаёт специфическую среду для ИБ: в корпоративном центре формируются стандарты и политики, но на каждой площадке исторически сложилась собственная реальность — другие вендоры оборудования, другое поколение ОС, другая сетевая архитектура, другая модель доступа, разная зрелость локальных ИТ-команд. Унификация — длительный процесс, и в промежуточном состоянии организация сосуществует с разнородной инфраструктурой и неоднородным уровнем защищённости.
ЗАДАЧА
Задача, поставленная перед нашей командой, — комплексный пентест (тестирование на проникновение) для разнородной ИТ-инфраструктуры и различных подходов к безопасности на производственных объектах по всей России. Цель — получить независимую оценку защищённости и обоснованную приоритизацию работ по устранению уязвимостей. Проект подразумевал не точечное сканирование одного периметра, а комплексную программу, охватывающую внешний и внутренний периметры, беспроводные сети, социотехнические атаки, несколько географически распределённых площадок.ОТРАСЛЬ
Промышленное производство. Многие производственные группы в последние годы оказались в фокусе киберугроз: производственный сектор, особенно связанный с обрабатывающей промышленностью, инфраструктурой и производством материалов, относится к числу наиболее атакуемых в России. Угрозы включают шифровальщики, целевые атаки APT-групп, атаки на цепочки поставок, атаки через подрядчиков 152-ФЗ, отраслевые требования. Зрелость ИБ в промышленности в среднем ниже, чем в финансах или телекоме, что делает независимый пентест особенно востребованным инструментом оценки рисков.ПРОБЛЕМАТИКА
Клиент сформулировал исходную проблему как отсутствие независимой оценки защищённости и приоритизации работ по устранению уязвимостей в сложной ИТ-инфраструктуре производства. За этой короткой формулировкой стоял ряд глубоких вопросов, с которыми сталкивается любая крупная промышленная группа.- Первый вопрос — реальное состояние защиты в условиях неоднородности. Корпоративный ИБ-офис имеет представление о своих инструментах, процессах, но не всегда знает, что происходит на каждой отдельной площадке. Локальные администраторы могут применять компенсирующие меры, отличающиеся от корпоративных стандартов. Установленный софт, сетевая конфигурация, набор пользователей, режимы доступа — всё это может существенно различаться от площадки к площадке. Без независимого полевого обследования невозможно получить объективную картину.
- Второй вопрос — приоритизация бюджета. ИБ-бюджет в любой организации ограничен, и главный управленческий вопрос — не «на что в принципе можно потратить деньги», а «на что надо потратить в первую очередь, чтобы снизить максимальный риск при минимальных затратах». Корректно ответить на этот вопрос без данных о реальных уязвимостях и их эксплуатабельности невозможно.
- Третий вопрос — устойчивость к социотехническим атакам. Производственные предприятия с большим количеством технического персонала традиционно уязвимы к фишингу, вишингу, физическим проникновениям. Сотрудники ориентированы на производственные процессы, а не на проверку каждого входящего письма.
- Четвёртый вопрос — специфика промышленной среды. В отличие от офисной среды, производство имеет дополнительные зоны риска: Wi-Fi сети, покрывающие значительные территории, беспроводные датчики, системы промышленной автоматизации, удалённый доступ подрядчиков для обслуживания оборудования.
РЕШЕНИЕ
Мы реализовали комплексный подход к тестированию на проникновение, охватывающий несколько направлений, выполняемых параллельно и в связке.Внешнее тестирование на проникновение было направлено на оценку защищённости внешнего периметра группы — публичных веб-приложений, VPN-шлюзов, почтовых шлюзов, других сервисов, доступных из интернета. Применялись методики OWASP и OSSTMM. Выполнялся сбор информации из открытых источников (OSINT), сканирование доступных сервисов, идентификация используемых технологий, проверка на известные уязвимости, попытки эксплуатации выявленных векторов. Отдельное внимание уделялось поиску утечек учётных записей сотрудников в открытых и закрытых источниках.
Внутреннее тестирование проводилось с позиции нарушителя, получившего доступ к внутренней сети (имитация скомпрометированного сотрудника, инсайдера или злоумышленника, проникшего через фишинг). Проверялась сетевая сегментация между площадками и между ролевыми зонами, возможность бокового перемещения (lateral movement), эскалации привилегий, компрометации доменной инфраструктуры, доступа к критичным бизнес-данным. Выполнялись атаки на Active Directory с применением современных техник: Kerberoasting, AS-REP Roasting, злоупотребление доверительными отношениями, поиск и использование уязвимых учётных записей.
Тестирование Wi-Fi сетей выполнялось на нескольких площадках группы и включало оценку используемых протоколов шифрования, проверку на атаки KRACK, Evil Twin, возможность перехвата handshake и офлайн-атаки на пароли, возможность проникновения через гостевые сети в корпоративный сегмент, оценку физической защищённости точек доступа.
Социотехнические мероприятия включали контролируемые фишинговые кампании с различными легендами (под HR, ИТ-поддержку, контрагентов), вишинг-атаки (телефонные звонки под легендами для получения учётных данных или установки ПО), а также попытки физического проникновения и получения доступа к рабочим местам. Все социотехнические активности проводились с соблюдением этических норм и в согласованных рамках, без негативных последствий для сотрудников.
По итогам пентеста был подготовлен многоуровневый отчёт. На уровне для руководства — executive summary с общей оценкой безопасности, сформулированной в бизнес-терминах, и приоритизированным списком рисков. На уровне для ИТ и ИБ — подробное техническое описание каждой уязвимости, процесса её эксплуатации, доказательства (скриншоты, логи, CVE), оценка CVSS, конкретные рекомендации по устранению. На тактическом уровне — план устранения с разделением на краткосрочные, среднесрочные и долгосрочные мероприятия.
РЕЗУЛЬТАТЫ
Заказчик получил общую оценку безопасности, выводы, сформулированные для руководства, и приоритизацию рисков. Также получил подробное описание процесса эксплуатации и конкретные, реализуемые рекомендации по устранению. Это именно тот формат, который востребован при работе с крупным клиентом: отчёт должен одновременно «продаваться» совету директоров и использоваться инженерами для устранения.С точки зрения бизнеса, пентест дал следующие эффекты. Во-первых, объективную картину защищённости разнородной инфраструктуры — впервые корпоративный ИБ-офис получил валидированные данные о реальном состоянии каждой площадки, а не только те показатели, которые сами площадки указывали в отчётности. Во-вторых, приоритизацию бюджета: вместо «давайте купим ещё один продукт» появилось «давайте в первую очередь закроем конкретные критические уязвимости, выявленные в ходе пентеста». В-третьих, материал для работы с персоналом: результаты социотехнических тестов стали основой программы повышения осведомлённости.
Для ЛПР закрыты ключевые боли: CIO получил аргументы для бюджетных решений; директор по ИБ — план устранения и доказательную базу для работы с площадками; совет директоров — объективное представление о рисках в зоне ИБ с привязкой к бизнес-последствиям. Пентест стал инструментом сдвига зрелости ИБ в группе: от разрозненных локальных практик — к системному корпоративному управлению.
Перспективы развития проекта — консалтинг по выстраиванию процесса устранения уязвимостей (Vulnerability Management). Классическая ловушка — однократный пентест без последующей регулярной работы: через полгода инфраструктура меняется, появляются новые уязвимости, и картина устаревает. Регулярный процесс VM, дополненный периодическими пентестами и постоянным сканированием, обеспечивает стабильно высокий уровень защищённости. Дополнительные перспективы — расширение программы на промышленный сегмент (АСУ ТП), тестирование web/mobile-приложений, проведение red team упражнений.