dark-logo

Пентест для ресурсодобывающего гигинта: как мы проверили защищённость всей цепочки — от сайта до SCADA

Обновлено: 22.06.2026

О Клиенте

Крупнейшая компания по добыча полезных ископаемых.

Задачи

Клиенту требовалось объективно оценить фактическую защищенность ИТ-инфраструктуры от атакующих как со стороны интернета, так и из внутренней сети. Проверка внешнего периметра по модели BlackBox и внутренне тестирование по модели GrayBox.

  • Выявить уязвимости на внешне доступных ресурсах: веб-приложениях, VPN-шлюзах, почтовых сервисах, удаленном доступе и сетевых узлах.
  • Оценить риски компрометации инфраструктуры при сценарии, когда злоумышленник уже получил доступ во внутреннюю сеть или на рабочее место сотрудника.
  • Не просто собрать список уязвимостей, а показать, какие из них действительно могут привести к развитию атаки, повышению привилегий, доступу к критичным системам и данным.

Особенности реализации

  • Наличие устаревших систем - В инфраструктуре использовались отдельные legacy-сервисы, для которых требовался особенно аккуратный подход при проверках, без риска остановки работы.
  • Комбинация внешних и внутренних сценариев - Важно было не только проверить интернет-периметр, но и смоделировать реальные цепочки развития атаки: от компрометации одной точки до доступа к критичным ресурсам внутри сети.
  • Ограничения по времени работ - Тестирование отдельных узлов проводилось в строго согласованные окна, чтобы исключить влияние на продуктивные бизнес-сервисы.
  • Наличие SCADA и других критически важных систем - Для тестирования это означает повышенную осторожность: часть проверок должна идти без деструктивного воздействия и без риска остановки производственных процессов.

 

Решение

На первом этапе был сформирован перечень публично доступных активов: основной веб-сайт, поддомены, портал пропусков/авторизации, административные панели и так далее.

Проверка охватила веб-ресурсы и внешние точки авторизации на предмет типовых рисков: ошибок конфигурации, слабой защиты аутентификации, проблем с управлением сессиями, устаревших компонентов, недостатков разграничения доступа и утечек служебной информации, различного рода инъекций. Для промышленной компании особое внимание было уделено сценариям, когда через внешнюю точку входа можно получить доступ к внутреннему ИТ-контуру, а через него - к операционным сервисам, связанным с производством и логистикой. 

Во внутреннем контуре была проверена устойчивость к типовым сценариям злоумышленника, который уже оказался в сети: компрометация пользовательского рабочего места, злоупотребление слабыми настройками доменной инфраструктуры, движение между сегментами, эскалация привилегий, доступ к файловым ресурсам и сервисным учетным записям.

Все отдельные находки были собраны в цепочки: от внешнего сервиса или подрядного доступа - к внутренней учетной записи, затем к расширению прав и попытке добраться до чувствительных бизнес-систем. Именно такой подход дает управленческую ценность: он показывает не просто уязвимости, а реальный путь атакующего.

 

Результаты

  • Заказчик получил подтвержденную картину внешнего периметра - Было установлено, какие публичные сервисы действительно могут использоваться как точки первичного доступа и какие из них требуют первоочередного усиления.
  • Были проверены реальные сценарии перехода из внешнего контура во внутренний - Проект показал, какие комбинации настроек, ошибок разграничения доступа и недостатков аутентификации теоретически могут позволить атакующему двигаться дальше внутрь инфраструктуры.
  • Оценена зрелость внутренней сегментации и контроля привилегий - Заказчик получил понимание, насколько корпоративная среда ограничивает перемещение атакующего по сети, избыточные права, доступ подрядчиков и сервисных учетных записей.

 

Выводы для заказчиков

Кейс хорошо показывает, почему пентест внешнего и внутреннего периметра особенно нужен промышленным компаниям. Когда у бизнеса есть одновременно публичные веб-сервисы, подрядный контур, удаленный доступ, логистические системы и цифровизация производственных процессов, риск уже не ограничивается «взломом сайта». Он касается всей цепочки - от внешнего входа до потенциального влияния на непрерывность операций.