Пентест для постачальника ОКІ

передумови

про клієнта

Клієнт — компанія, що працює з державним сектором і бере участь у тендерах на постачання. Для укладення контракту із замовником клієнт мав виконати обов’язкову вимогу — підтвердити рівень захищеності своїх систем.

часові межі

На виконання погодженого скоупу робіт у нас було всього 5 днів. Стислі терміни були обумовлені тим, що клієнт мав внести виправлення і подати звіт замовнику до кінця року.

кейс

Погоджений перелік робіт

Сканування зовнішнього периметру (зовнішня IP, маршрутизатор)
Тестування термінального сервера з внутрішньої мережі
Перевірка конфігурації антивірусного захисту
Оцінка ризиків, пов’язаних із програмним забезпеченням, що слугує для обміну даними між нашим клієнтом і його замовником

Організація проведення пентесту

Тестування проводилося у форматі grey box: наша команда отримала обмежений доступ до системи — відпрацьовувалися сценарії внутрішньої компрометації.

що виявили

Зовнішній периметр

Клієнт був упевнений, що зовнішній периметр закритий. Однак сканування виявило відкриту адмінпанель маршрутизатора, через яку зловмисник міг би підібрати пароль і отримати доступ до внутрішньої мережі. Клієнт усунув вразливість одразу після отримання інформації.

Конфігурація антивірусу

Користувач, під яким проводилося тестування, мав доступ до налаштувань антивірусу. На практиці це означає, що зловмисник, який отримав такий самий рівень доступу, міг би повністю вимкнути захист і діяти непоміченим.

Legacy-утиліти як вектор атаки

Клієнт заблокував популярні інструменти збору системної інформації, однак не заблокував застарілі адміністративні утиліти Windows. Через них вдалося отримати дані про систему — версію ОС і конфігурацію середовища. Антивірус не фіксує таких дій, оскільки це штатне системне ПЗ. Саме такий підхід — використання вбудованих інструментів замість шкідливого ПЗ — зараз активно застосовують зловмисники.

Застаріле програмне забезпечення

На тестовому середовищі продемонстровано потенційні вектори атак через застарілий програмний продукт, який використовує клієнт. Компанія перебуває в процесі міграції на альтернативне рішення.

Результати

Інформацію про виявлені критичні вразливості ми передавали клієнту в режимі реального часу. Це дало йому змогу розпочати виправлення одразу, не чекаючи завершення пентесту.

За результатами роботи підготовлено два документи:

технічний звіт для внутрішньої команди — докладний опис виявлених вразливостей, кроки відтворення, рекомендації щодо усунення;
публічна ревізія для передачі третій стороні (замовнику клієнта) — опис виявлених проблем і рекомендації без технічних деталей.

Клієнт отримав звіт вчасно, виконав вимоги замовника й підписав контракт.

Потрібно підготуватися до вимог ДССЗІ щодо постачальників?

Проведіть незалежний пентест заздалегідь. Залиште заявку – ми допоможемо вам визначити оптимальний скоуп робіт і проведемо тестування відповідно до міжнародних стандартів та найкращих практик кібербезпеки.

Please leave this field blank

Ім'я

Прізвище

Компанія

Посада

Телефон

Я погоджуюсь з умовами обробки персональних даних
Я погоджуюсь на використання внесених даних для інформування в майбутньому

дізнайтесь більше

Тестування на проникнення Сервіс керування вразливостями на основі ризиків Сервіс перевірки засобів безпеки