Пентест (тестирование на проникновение) для значимых объектов КИИ

Разбираем разницу между бумажным комплаенсом и реальным анализом защищённости КИИ: типы пентеста, Red Teaming, социальная инженерия и практические рекомендации по объёму тестирования для 1, 2 и 3 категорий значимости.

4. Red Teaming для КИИ: имитация реальной APT-атаки

Red Teaming — это расширенная форма тестирования на проникновение, которая выходит за рамки классического пентеста. Если стандартный пентест инфраструктуры фокусируется на поиске технических уязвимостей, то Red Team имитирует полноценную APT-кампанию (Advanced Persistent Threat): от первичной разведки до закрепления в инфраструктуре и достижения целей атакующего.

4.1. Ключевые отличия Red Teaming от классического пентеста

4.2. Зачем Red Teaming субъектам КИИ

Объекты КИИ — приоритетные цели для APT-группировок. Государственно мотивированные атакующие используют сложные многоэтапные кампании, включающие разведку, компрометацию подрядчиков, фишинг ключевых сотрудников и длительное скрытное присутствие в сети. Стандартный пентест не способен воспроизвести такой сценарий. Red Teaming отвечает на критически важные вопросы:

• Может ли SOC обнаружить целевую атаку до достижения критических активов?
• Работают ли playbook'и реагирования при реальном инциденте?
• Способен ли атакующий пройти от корпоративного сегмента до сегмента АСУ ТП?
• Достаточна ли сегментация сети для защиты значимых объектов?
• Насколько эффективны сертифицированные СЗИ в условиях целевой атаки?

По результатам Red Teaming формируется Purple Team — совместная сессия атакующей и защищающейся команд, в ходе которой разбираются каждый этап кампании, пропущенные алерты и корректируются правила детектирования в SIEM.

5. Социальная инженерия как вектор атаки на КИИ

По статистике крупнейших российских SOC-центров, более 60 % успешных атак на объекты КИИ начинаются с компрометации человеческого фактора: фишинговые письма, вишинг (телефонное мошенничество), подбрасывание заражённых USB-носителей, взаимодействие с подрядчиками.

В рамках инструментального аудита социальная инженерия проверяет:

• Фишинг (целевой): рассылка правдоподобных писем с вредоносными вложениями или ссылками на поддельные корпоративные порталы. Оценивается процент открытий, кликов и вводов учётных данных.
• Вишинг: звонки сотрудникам от имени ИТ-службы, руководства или контрагентов с просьбой предоставить доступ, пароли, критическую информацию.
• Физический доступ: попытка проникновения на территорию объекта КИИ (tailgating, поддельные пропуска, «забытые» ноутбуки в переговорных).
• Атака через подрядчиков (supply chain): имитация компрометации VPN-доступа подрядной организации для проникновения в целевую сеть.

Результаты теста социальной инженерии позволяют скорректировать программу повышения осведомлённости (Security Awareness) и выявить системные проблемы: отсутствие двухфакторной аутентификации, избыточные привилегии подрядчиков, неконтролируемый физический доступ к серверным помещениям.

6. Матрица отличий: бумажный комплаенс vs инструментальный аудит

Один из самых распространённых запросов CISO — «Мы же прошли проверку ФСТЭК, зачем нам ещё пентест?». Ниже — авторская матрица «Астелс», демонстрирующая принципиальную разницу между формальным соответствием и реальной проверкой защищённости.

Вывод: бумажный комплаенс и инструментальный аудит — не взаимоисключающие, а взаимодополняющие процессы. Организация, которая ограничивается только документальной проверкой, формально соответствует требованиям, но остаётся уязвимой для реальных атак. Аудит ИБ перед проверкой ФСТЭК должен включать оба компонента.

7. Этапы проведения пентеста объектов КИИ

Качественный анализ защищённости КИИ проводится по стандартизированной методологии. Ниже — этапы, которые применяет команда «Астелс» при тестировании значимых объектов.

Этап 1. Предпроектное обследование и согласование scope

• Определение границ тестирования: какие объекты КИИ входят в scope, какие сегменты сети затрагиваются.
• Согласование с заказчиком типа тестирования (Black / Grey / White Box).
• Формирование матрицы рисков: определение критических систем, для которых тестирование проводится с ограничениями (например, АСУ ТП тестируется на стенде).
• Подписание NDA и соглашения о правилах взаимодействия (Rules of Engagement).
• Уведомление НКЦКИ/ГосСОПКА о проведении тестирования (при необходимости).

Этап 2. Разведка (Reconnaissance)

• Пассивная разведка: OSINT, анализ публичных данных, DNS, WHOIS, утечки паролей, профили сотрудников.
• Активная разведка: сканирование портов, определение сервисов, fingerprinting технологий.
• Построение карты атаки: идентификация точек входа и потенциальных цепочек эксплуатации.

Этап 3. Поиск и эксплуатация уязвимостей

• Инструментальное сканирование уязвимостей (CVE-базы, эвристический анализ).
• Ручная верификация: подтверждение эксплуатируемости найденных уязвимостей.
• Эксплуатация: получение первичного доступа (initial access) через выявленные уязвимости.
• Повышение привилегий (privilege escalation) и горизонтальное продвижение (lateral movement).

Этап 4. Закрепление и достижение целей

• Имитация закрепления в инфраструктуре (persistence).
• Попытка доступа к критическим активам: контроллер домена, базы данных, сегмент АСУ ТП.
• Документирование полных цепочек атаки (attack chains) по матрице MITRE ATT&CK.

Этап 5. Отчётность и рекомендации

• Технический отчёт: каждая уязвимость с описанием, доказательством эксплуатации (PoC), уровнем критичности (CVSS) и рекомендациями по устранению.
• Управленческий отчёт для CISO/CIO: ключевые риски, бизнес-влияние, приоритеты.
• Соотнесение результатов с требованиями Приказа ФСТЭК № 239 и моделью угроз.
• Контрольное тестирование (retest) после устранения критических уязвимостей.

8. Инструменты и технологии анализа защищённости

Профессиональная команда пентестеров использует комбинацию автоматизированных и ручных инструментов. Для объектов КИИ критически важно, чтобы применяемые средства не нарушали работоспособность систем и были совместимы с отечественными решениями.

Важно: для объектов КИИ с АСУ ТП тестирование производственных контуров в режиме реального времени недопустимо. Все активные проверки проводятся на стендах или в технологических окнах обслуживания. Это правило фиксируется в Rules of Engagement на этапе согласования scope.

9. Карта покрытия: что проверяет каждый тип тестирования (авторский инструмент «Астелс»)

CISO часто сталкивается с вопросом: какой объём тестирования необходим для конкретного объекта КИИ? Ниже — авторская карта покрытия, разработанная экспертами «Астелс» на основе опыта проектов для субъектов КИИ. Она позволяет соотнести тип тестирования с проверяемыми слоями защиты и сформировать оптимальную программу анализа защищённости КИИ.

Рекомендация «Астелс» по минимальному объёму тестирования для значимых объектов КИИ:

• 3-я категория значимости: ежегодный пентест (Grey Box) внешнего и внутреннего периметра + сканирование уязвимостей раз в квартал.
• 2-я категория значимости: пентест (Grey/White Box) дважды в год + социальная инженерия + ежеквартальное сканирование.
• 1-я категория значимости: Red Teaming не реже 1 раза в год + ежеквартальный пентест + непрерывное управление уязвимостями (VM).

10. Как «Астелс» проводит пентест объектов КИИ

Компания «Астелс» (sertifikat.bz) выполняет полный спектр работ по анализу защищённости КИИ — от сканирования уязвимостей до комплексного Red Teaming. Наш подход построен на трёх принципах:

• Безопасность объекта КИИ: тестирование АСУ ТП и критических систем проводится исключительно на стендах или в согласованные технологические окна. Мы используем «мягкие» методы эксплуатации, исключающие деструктивное воздействие.
• Соответствие требованиям регуляторов: отчёт оформляется в формате, принимаемом ФСТЭК при проверках, и включает маппинг уязвимостей на требования Приказа № 239 и модель угроз.
• Практическая ценность: каждая уязвимость сопровождается конкретными рекомендациями по устранению с указанием приоритета, ответственного подразделения и ориентировочных трудозатрат.

Состав услуг «Астелс» по анализу защищённости

• Пентест внешнего периметра (Black Box / Grey Box).
• Пентест внутренней инфраструктуры (Grey Box / White Box), включая Active Directory.
• Тестирование веб-приложений по методологии OWASP Top 10.
• Анализ защищённости беспроводных сетей (Wi-Fi).
• Социальная инженерия: фишинг, вишинг, физическое проникновение.
• Red Teaming с последующей Purple Team-сессией.
• Анализ защищённости сегмента АСУ ТП на стенде.
• Контрольное тестирование (retest) после устранения уязвимостей.

Все работы проводятся специалистами с профильными сертификациями (OSCP, OSEP, CPTS) и опытом тестирования объектов КИИ в сферах энергетики, транспорта, связи и финансов. Результаты инструментального аудита интегрируются с другими процессами: инвентаризацией ИТ-активов, мониторингом SOC, взаимодействием с ГосСОПКА.

Стоимость зависит от масштаба инфраструктуры, типа тестирования и категории значимости объектов. Ориентировочные расценки — в разделе «Сколько стоит категорирование КИИ». Для получения индивидуального расчёта — оставьте заявку на комплексную кибербезопасность КИИ.

Заключение

Тестирование на проникновение — это мост между «бумажным» комплаенсом и реальной кибербезопасностью. Субъект КИИ, который ограничивается только документальными проверками, рискует столкнуться с атакой, к которой его средства защиты окажутся не готовы. Регулярный пентест инфраструктуры по методикам Black Box, Grey Box и White Box в сочетании с Red Teaming для наиболее критичных объектов — единственный способ получить объективную картину защищённости.

Приказ ФСТЭК № 239 прямо требует проведения анализа защищённости. С ужесточением штрафов и проверок в 2026 году субъекты КИИ, не имеющие отчётов о пентесте, рискуют получить предписания и административные санкции. Не дожидайтесь инцидента — закажите анализ защищённости КИИ у экспертов «Астелс» и убедитесь, что ваша система безопасности работает не только на бумаге.