По условиям конкурса заказчик требовал провести серию тестов на проникновение извне и изнутри корпоративного периметра сети, анализ защищенности веб- и мобильных приложений банка — а по итогам работ составить отчет, содержащий детальную информацию о выявленных угрозах и уязвимостях, в соответствии с критериями оценки рисков, разработанных банком.
С этим заданием лучше всего справилась ICL Services, которая впоследствии и приступила к выполнению проекта.Задачи
- Провести серию пентестов извне и изнутри корпоративного периметра банка
- Ранжировать найденные уязвимости по степени риска и дать рекомендации по повышению защищенности корпоративных ИТ-ресурсов
- Предоставить итоговую отчетность в соответствии со стандартами клиента
Реализованное нами решение
Команда приступила к работам в ноябре 2023 года. При этом сроки проекта поджимали: по требованию заказчика ICL Services было необходимо завершить основную серию тестов до середины декабря.
Заказчик уделил особенное внимание трем аспектам проведения пентестов:
— во-первых, границы проведения тестирование на проникновение в обязательном порядке были согласованы со службой информационной безопасности банка;
— во-вторых, строго оговаривался порядок проведения тестов и устройства, с которых должны были действовать наши специалисты;
— в-третьих, оценка степени риска найденных уязвимостей и рекомендации по их исправлению нужно было консолидировать в отчет в соответствии с внутренними стандартами клиента.
Например, приоритетным направлением по устранению уязвимостей считалась защита банковской тайны и конфиденциальной платежной информации: потенциальные уязвимости такого характера получили бы высокий уровень риска, к которому в приоритетном порядке следовало применять защитные меры.
Всё это не стало препятствием для команды: специалисты ICL Services конструктивно работали вместе с экспертами компании заказчика, приводя отчетность к желаемому формату. Также важно было завершить основные работы к началу новогодних праздников, во время которых проведение работ было ограничено.
Согласовав сроки по проекту, эксперты запустили два параллельных процесса: инициировали имитацию внешней атаки на периметр банка и выехали в офис клиента для проведения пентестов внутри корпоративной среды.
С середины ноября по конец декабря 2023 года команда провела разведку и сканирование уязвимостей, в том числе – по требованию заказчика – таких, которые позволяли бы повысить уровень привилегий в системах или скомпрометировать их. Также были идентифицированы потенциальные вектора атак и протестирована терминальная инфраструктура. Всего пентесты охватили около 200 внутренних конечных точек (куда входили сервера и сетевые устройства) и около 50 внешних узлов.
С середины декабря, систематизировав все найденные угрозы и уязвимости, идентифицировав возможные вектора атак и разработав рекомендации по повышению уровня защищенности корпоративной инфраструктуры, команда приступила к работе над финальным отчетом, завершив его в срок.
Классификация рисков по критериям заказчика помогла расставить приоритеты в предложениях по повышению уровня защищенности корпоративных ресурсов: предлагаемые меры разделили на первоочередные, среднесрочные и долгосрочные (стратегические).
Продукты и технологии
- nmap
- Nessus / Greenbone
- Metasploit framework
- Mimikatz
- При проведении работ использовались также другие известные сканеры уязвимостей, инструменты анализа трафика и средства, в том числе созданные во время работы. Полный список не разглашается по соображениям безопасности.
Результаты
- Было протестировано более 250 внешних и внутренних конечных точек, в том числе с имитацией атак извне инфраструктуры заказчика.
- Выявленные уязвимости в соответствии с критериями клиента были разделены на степени риска от высокого (17,8%) до выше среднего (3,5%), среднего (21,4%), ниже среднего (35,7%) и низкого (21,4%).
- Финальный отчет был разработан в соответствии с внутренним стандартом банка.
- Для каждой группы уязвимостей были даны рекомендации по повышению уровня информационной безопасности и защищенности корпоративных ресурсов заказчика.
Предоставленные услуги
эксперт по Оценке безопасности ИТ-инфраструктуры