Пентест для гидроэлектростанций
Двухэтапное внешнее и внутреннее тестирование с фокусом на SCADA для крупнейшего производителя гидроэлектроэнергии Украины.
Укргидроэнерго — крупнейшая компания по производству гидроэлектроэнергии в Украине, эксплуатирующая 10 электростанций.
Суммарная мощность 104 гидроагрегатов, установленных на электростанциях компании, составляет 6 208,3 МВт — это 8% общего энергобаланса страны.
Клиент осознал критическую важность защиты своей ИТ- и киберинфраструктуры. Основной целью было выявить существующие уязвимости и оценить возможность получения несанкционированного доступа к сети SCADA.
Был проведён комплексный проект тестирования на проникновение. Тестирование охватывало уровни сети и приложений, организационные аспекты безопасности и существующие процессы.
Было проведено два этапа: первый — на доступных извне системах, второй — на внутренней корпоративной сети с фокусом на атаки SCADA. Использовались подходы Blackbox и Graybox.
Наша методология пентеста основана на ведущих стандартах — PTES, NIST SP 800-115, OSSTMM, OWASP — и дополнена нашим собственным 15-летним опытом.
В ходе пентеста использовался полный набор обычных инструментов пентестера — но главным ключом к успеху был ручной анализ: связывание результатов эксплуатации отдельных уязвимостей для повышения привилегий и демонстрации практической компрометации ИТ-инфраструктуры.
Проект дал бесценное понимание уязвимостей и потенциальных векторов атак, которые могли бы скомпрометировать критическую инфраструктуру клиента и обеспечить несанкционированный доступ к SCADA.
Были предоставлены подробные рекомендации и стратегии устранения уязвимостей, что позволило клиенту приоритизировать и внедрить необходимые улучшения безопасности. Оценка также выявила зоны для улучшения процессов информационной безопасности, средств контроля и общего состояния кибербезопасности.
Устранив находки, клиент может значительно снизить киберугрозы, защитить критическую инфраструктуру и обеспечить непрерывность и надёжность работы гидроэнергетики.
Больше кейсов
View allBukovel
Внешнее, беспроводное и внутреннее Blackbox-тестирование крупнейшего горнолыжного курорта Восточной Европы.
Читать кейсCollaborator (Davintoo Украина)
Комплексный пентест веб-приложения для поддержки сертификации ISO 27001 корпоративной LMS-платформы.
Читать кейсPrykarpattiaoblenergo
Симуляции фишинга и Blackbox-тестирование веб-приложения для крупного украинского дистрибьютора электроэнергии.
Читать кейсПохожая
задача на уме?
Мы определим скоуп пентеста под руководством senior-специалистов для вашей конкретной среды — и предоставим Технический, Краткий для руководства и Action-plan отчёты, превращающие находки в бизнес-решения.
- Ответ в течение одного рабочего дня
- NDA по запросу — без обязательств
- Общайтесь напрямую с нашим Head of OffSec
- Индивидуальный скоуп и прозрачное ценообразование