Внутренний пентест: как обнаружить угрозы внутри корпоративной сети

21.03.2025

Представьте ситуацию: злоумышленник уже проник в вашу корпоративную сеть. Возможно, через фишинговое письмо, уязвимость в веб-приложении или USB-накопитель, подброшенный на парковке. Что произойдет дальше? Сможет ли он получить доступ к критически важным данным? Как долго он останется незамеченным?

Статистика показывает пугающую картину: в среднем злоумышленники проводят 287 дней внутри корпоративной сети, прежде чем их обнаружат. За это время они успевают изучить инфраструктуру, повысить свои привилегии и получить доступ к самым ценным активам компании. Именно поэтому внутренний пентест становится критически важным элементом стратегии кибербезопасности.

Что такое внутренний пентест

Определение и основные цели

Внутренний пентест — это имитация действий злоумышленника, который уже получил первоначальный доступ к корпоративной сети. В отличие от внешнего тестирования, которое фокусируется на проникновении извне, внутренний пентест оценивает способность компании противостоять угрозам изнутри.

Ключевые цели внутреннего пентеста:

  • Оценка возможностей латерального движения по сети
  • Проверка эффективности сегментации сети
  • Тестирование процедур эскалации привилегий
  • Выявление критичных активов, доступных изнутри
  • Анализ систем мониторинга и их способности обнаруживать подозрительную активность

Сценарии проведения внутреннего пентеста

Сценарий 1: Скомпрометированный сотрудник

  • Начальная точка: учетные данные обычного пользователя
  • Цель: определить, какой ущерб может нанести инсайдер
  • Типичные права: доступ к рабочей станции, корпоративной почте, файловым ресурсам

Сценарий 2: Зараженная рабочая станция

  • Начальная точка: компьютер с установленным вредоносным ПО
  • Цель: оценить распространение заражения по сети
  • Права: локальный пользователь без административных привилегий

Сценарий 3: Физический доступ

  • Начальная точка: физическое присутствие в офисе
  • Цель: оценить защиту от инсайдерских угроз
  • Возможности: доступ к незаблокированным рабочим станциям, сетевым розеткам

Сценарий 4: Привилегированный пользователь

  • Начальная точка: учетные данные администратора домена
  • Цель: оценить масштаб возможного ущерба при компрометации привилегированного аккаунта
  • Права: административный доступ к части инфраструктуры

Основные угрозы, выявляемые внутренним пентестом

Эскалация привилегий

Эскалация привилегий — процесс получения более высоких прав доступа в системе. Это один из ключевых этапов любой внутренней атаки.

Горизонтальная эскалация

  • Получение доступа к аккаунтам других пользователей того же уровня
  • Использование общих паролей или слабых политик безопасности
  • Компрометация через общие ресурсы

Вертикальная эскалация

  • Повышение привилегий до уровня администратора
  • Эксплуатация уязвимостей в операционных системах
  • Использование неправильных конфигураций

Статистика: 74% успешных атак включают эскалацию привилегий как ключевой элемент.

Типичные векторы эскалации:

  • Уязвимости ядра ОС — неустановленные обновления безопасности
  • Неправильные права на файлы — исполняемые файлы с правами на запись
  • Слабые пароли служб — сервисы, работающие под привилегированными аккаунтами
  • Неправильная конфигурация sudo — избыточные права в Linux-системах
  • Уязвимости в установленном ПО — программы с известными эксплойтами

Латеральное движение

Латеральное движение — способность злоумышленника перемещаться между системами внутри сети после получения первоначального доступа.

Основные техники латерального движения:

Pass-the-Hash атаки

  • Использование хешей паролей вместо самих паролей
  • Особенно эффективно в Windows-средах
  • Позволяет аутентифицироваться без знания исходного пароля

Kerberoasting

  • Атака на протокол аутентификации Kerberos
  • Получение и взлом хешей паролей сервисных аккаунтов
  • Часто приводит к компрометации критичных сервисов

Использование доверительных отношений

  • Эксплуатация настроенных доверительных связей между доменами
  • Переход между различными сегментами сети
  • Получение доступа к ресурсам партнерских организаций

Пример из практики: При тестировании крупной производственной компании специалисты начали с аккаунта обычного сотрудника отдела кадров. Через уязвимость в системе управления персоналом получили доступ к серверу HR, оттуда — к контроллеру домена, а затем — к промышленным системам управления производством. Весь путь занял 4 часа.

Доступ к критичным данным

Конечная цель большинства атак — получение доступа к ценной информации компании.

Типы критичных данных:

  • Персональные данные клиентов — ФИО, адреса, финансовая информация
  • Коммерческая тайна — технологии, планы развития, финансовые показатели
  • Интеллектуальная собственность — патенты, исходный код, дизайн продуктов
  • Операционные данные — пароли, ключи шифрования, конфигурации систем

Места хранения критичных данных:

  • Незащищенные файловые ресурсы (найдены в 89% тестируемых сетей)
  • Базы данных без шифрования (67% случаев)
  • Резервные копии с слабой защитой (45% случаев)
  • Рабочие станции пользователей (78% случаев)

Методология внутреннего пентеста

Этап 1. Первоначальная разведка

Сбор информации о сетевой инфраструктуре

  • Сканирование подсетей — определение активных хостов
  • Анализ сетевой топологии — выявление сегментов и VLAN
  • Инвентаризация сервисов — каталогизация запущенных служб
  • Определение операционных систем — версии и уровни обновлений

Анализ Active Directory (для Windows-сред)

  • Перечисление пользователей и групп — структура организации
  • Анализ политик безопасности — требования к паролям, блокировки
  • Выявление привилегированных аккаунтов — администраторы, сервисные аккаунты
  • Поиск неактивных аккаунтов — потенциальные векторы атак

Инструменты этапа:

  • BloodHound — визуализация путей атак в AD
  • PowerView — разведка в Windows-доменах
  • enum4linux — перечисление в смешанных средах
  • ldapsearch — запросы к LDAP-серверам

Этап 2. Поиск путей эскалации

Анализ локальных уязвимостей

  • Проверка установленных обновлений — поиск известных CVE
  • Анализ запущенных процессов — сервисы с высокими привилегиями
  • Проверка файловых разрешений — возможности записи в системные папки
  • Анализ планировщика задач — задачи с повышенными правами

Поиск учетных данных

  • Анализ файлов конфигураций — пароли в открытом виде
  • Проверка истории команд — сохраненные пароли в bash_history
  • Поиск в реестре Windows — автосохраненные учетные данные
  • Анализ памяти процессов — извлечение паролей из RAM

Статистика находок:

  • Пароли в конфигурационных файлах: 34% тестируемых систем
  • Слабые пароли сервисных аккаунтов: 67% Windows-доменов
  • Неустановленные критичные обновления: 45% серверов
  • Избыточные права пользователей: 78% организаций

Этап 3. Латеральное движение

Техники перемещения по сети

PsExec и аналоги

  • Удаленное выполнение команд через SMB
  • Требует административных прав на целевой системе
  • Оставляет следы в логах безопасности

WMI (Windows Management Instrumentation)

  • Более скрытный способ удаленного выполнения
  • Сложнее для обнаружения системами мониторинга
  • Широкие возможности для разведки

PowerShell Remoting

  • Использование встроенных возможностей Windows
  • Шифрованный канал связи
  • Интеграция с существующими процессами

SSH и удаленные оболочки (Linux)

  • Использование скомпрометированных SSH-ключей
  • Туннелирование через промежуточные хосты
  • Использование sudo для эскалации

Этап 4. Достижение целей

Доступ к критичным системам

  • Серверы баз данных — извлечение конфиденциальной информации
  • Файловые серверы — доступ к корпоративным документам
  • Системы резервного копирования — исторические данные
  • Контроллеры домена — полный контроль над инфраструктурой

Демонстрация воздействия

  • Создание proof-of-concept файлов (без реального ущерба)
  • Документирование путей доступа к критичным данным
  • Оценка возможностей для длительного присутствия в сети
  • Анализ возможностей для нарушения работы систем

Инструменты внутреннего пентестинга

Разведка и анализ Active Directory

BloodHound

  • Назначение: Визуализация путей атак в Active Directory
  • Возможности: Автоматический поиск путей к привилегированным аккаунтам
  • Преимущества: Графическое представление сложных зависимостей
  • Использование: SharpHound.exe -c All -d domain.local

PowerView

  • Назначение: PowerShell-модуль для разведки в Windows-доменах
  • Возможности: Перечисление пользователей, групп, компьютеров, GPO
  • Преимущества: Использует встроенные Windows API
  • Пример: Get-DomainUser -AdminCount | Select samaccountname

ADRecon

  • Назначение: Комплексный сбор информации об Active Directory
  • Возможности: Генерация детальных отчетов в Excel
  • Преимущества: Подходит для аудита и документирования
  • Формат вывода: Структурированные таблицы с анализом рисков

Эскалация привилегий

Metasploit Framework

  • Модули для Windows: exploit/windows/local/ms16_032_secondary_logon_handle_privesc
  • Модули для Linux: exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
  • Post-exploitation: Широкий набор модулей для развития атаки
  • Автоматизация: Возможность создания сценариев атак

PowerSploit

  • PowerUp: Поиск путей эскалации в Windows
  • Privesc: Автоматизированная эскалация привилегий
  • Persistence: Закрепление в системе
  • Пример использования: Invoke-AllChecks | Out-File -Encoding ASCII checks.txt

LinPEAS / WinPEAS

  • Назначение: Автоматизированный поиск путей эскалации
  • Особенности: Цветовая индикация уровня риска
  • Скорость: Быстрое сканирование с минимальным воздействием
  • Отчетность: Детальные отчеты с рекомендациями

Латеральное движение

Impacket

  • psexec.py: Удаленное выполнение команд
  • wmiexec.py: Выполнение через WMI
  • secretsdump.py: Извлечение хешей паролей
  • Пример: python3 psexec.py domain/user:password@target

CrackMapExec

  • Многопротокольность: SMB, WinRM, MSSQL, LDAP
  • Массовые операции: Тестирование множественных целей
  • Модульность: Расширяемая архитектура
  • Пример: crackmapexec smb 192.168.1.0/24 -u user -p password --shares

Cobalt Strike

  • Beacon: Продвинутый payload для длительного присутствия
  • Malleable C2: Настраиваемые профили коммуникации
  • Teamserver: Совместная работа команды
  • Профессиональный инструмент: Широко используется в Red Team операциях

Специализированные инструменты

Mimikatz

  • Назначение: Извлечение учетных данных из памяти Windows
  • Возможности: Pass-the-Hash, Pass-the-Ticket, Golden Ticket
  • Обнаружение: Активно детектируется антивирусами
  • Альтернативы: SafetyKatz, SharpKatz для обхода защиты

Rubeus

  • Назначение: Работа с протоколом Kerberos
  • Возможности: Kerberoasting, ASREPRoasting, Golden/Silver Tickets
  • Преимущества: Написан на C#, компилируется в память
  • Пример: Rubeus.exe kerberoast /outfile:hashes.txt

Специфика внутреннего пентеста для разных инфраструктур

Windows-среда с Active Directory

Типичная архитектура:

  • Контроллеры домена (Domain Controllers)
  • Файловые серверы с общими ресурсами
  • Рабочие станции пользователей
  • Серверы приложений и баз данных

Основные векторы атак:

Kerberoasting

# Поиск сервисных аккаунтов с SPN
Get-DomainUser -SPN | Select samaccountname,serviceprincipalname

# Запрос TGS-билетов для взлома
Rubeus.exe kerberoast /outfile:spn_hashes.txt

ASREPRoasting

  • Атака на аккаунты без предварительной аутентификации Kerberos
  • Получение хешей для офлайн-взлома
  • Часто встречается при миграции со старых версий AD

DCSync атака

# Имитация контроллера домена для получения хешей
Invoke-Mimikatz -Command '"lsadump::dcsync /domain:company.local /all"'

Статистика по Windows-средам:

  • 67% доменов имеют слабые пароли сервисных аккаунтов
  • 34% организаций используют устаревшие версии Windows Server
  • 89% сетей имеют избыточные права доступа к файловым ресурсам

Linux-инфраструктура

Типичные компоненты:

  • SSH-серверы для удаленного доступа
  • Веб-серверы (Apache, Nginx)
  • Базы данных (MySQL, PostgreSQL)
  • Контейнерные платформы (Docker, Kubernetes)

Основные техники атак:

Эскалация через sudo

# Проверка sudo-прав
sudo -l

# Поиск уязвимых конфигураций
find /etc -name "sudoers*" -exec cat {} \;

Поиск SUID/SGID файлов

# Поиск файлов с битами SUID/SGID
find / -type f \( -perm -4000 -o -perm -2000 \) 2>/dev/null

# Проверка на известные уязвимости
ls -la /usr/bin/pkexec  # CVE-2021-4034 (PwnKit)

Анализ cron-задач

# Системные cron-задачи
cat /etc/crontab
ls -la /etc/cron.*

# Пользовательские задачи
crontab -l

Контейнерные среды

  • Escape из Docker-контейнеров
  • Атаки на Kubernetes API
  • Неправильные конфигурации безопасности

Смешанные среды

Особенности гибридных инфраструктур:

  • Интеграция Windows AD с Linux-системами через LDAP/Kerberos
  • Общие файловые ресурсы через Samba
  • Централизованная аутентификация

Векторы атак в смешанных средах:

  • Компрометация доверительных отношений между доменами
  • Использование общих сервисных аккаунтов
  • Атаки на системы интеграции (ADFS, LDAP-прокси)

Пример атаки:

  1. Компрометация Windows-рабочей станции
  2. Извлечение Kerberos-билетов
  3. Использование билетов для доступа к Linux-серверам
  4. Эскалация привилегий в Linux-среде
  5. Доступ к критичным данным на файловых серверах

Комплементарность подходов

Внешний и внутренний пентесты дополняют друг друга:

Внешний пентест отвечает на вопросы:

  • Может ли злоумышленник проникнуть в нашу сеть?
  • Какие внешние сервисы наиболее уязвимы?
  • Эффективны ли наши периметровые средства защиты?

Внутренний пентест отвечает на вопросы:

  • Что произойдет, если злоумышленник уже внутри?
  • Как быстро он сможет получить доступ к критичным данным?
  • Обнаружат ли наши системы мониторинга подозрительную активность?

Факторы, влияющие на сложность внутреннего пентеста

Размер и сложность инфраструктуры

Количество серверов и рабочих станций — прямо влияет на объем работ

  • Малые сети (до 100 устройств) — базовое тестирование
  • Средние сети (100-1000 устройств) — комплексный анализ
  • Крупные сети (1000+ устройств) — многоэтапное тестирование

Число доменов и лесов AD — каждый домен требует отдельного анализа

  • Однодоменная среда — стандартное тестирование
  • Мультидоменная среда — анализ доверительных отношений
  • Мультилесная среда — комплексное тестирование интеграций

Сегментация сети — больше сегментов = больше времени на тестирование

  • Плоская сеть — быстрое латеральное движение
  • Сегментированная сеть — тестирование межсегментных переходов
  • Микросегментация — детальный анализ политик безопасности

Разнообразие ОС — смешанные среды требуют различных подходов

  • Однородная среда (только Windows или Linux)
  • Смешанная среда (Windows + Linux)
  • Гетерогенная среда (включая Unix, macOS, специализированные ОС)

Глубина тестирования

Поверхностная оценка

  • Автоматизированное сканирование и базовые проверки
  • Выявление очевидных уязвимостей
  • Быстрая оценка общего уровня безопасности

Стандартный пентест

  • Ручное тестирование ключевых систем
  • Попытки эскалации привилегий
  • Анализ возможностей латерального движения

Углубленное тестирование

  • Детальный анализ всех компонентов инфраструктуры
  • Комплексные сценарии атак
  • Имитация APT-групп

Red Team операции

  • Долгосрочное моделирование реальных атак
  • Тестирование процедур реагирования
  • Оценка готовности команды безопасности

Специальные требования

Тестирование в рабочее время

  • Стандартные условия работы
  • Возможность быстрого реагирования на проблемы
  • Доступность технических специалистов

Тестирование в нерабочее время

  • Минимизация воздействия на бизнес-процессы
  • Ограниченная поддержка
  • Необходимость предварительной подготовки

Скрытность (stealth-режим)

  • Имитация реальных APT-атак
  • Обход систем обнаружения
  • Минимизация следов в логах
  • Тестирование способности SOC обнаруживать угрозы

Соответствие стандартам

  • Дополнительная документация процедур
  • Соблюдение специфических требований
  • Интеграция с процессами аудита

Временные рамки внутреннего пентеста

Подготовительный этап (1-2 недели до начала)

Техническое задание — определение границ и целей тестирования

  • Выбор сценариев тестирования
  • Определение критичных систем
  • Согласование методологии

Инвентаризация активов — составление списка критичных систем

  • Серверы и их роли
  • Сетевая инфраструктура
  • Специализированные системы

Согласование времени — выбор оптимального периода для тестирования

  • Учет бизнес-процессов
  • Доступность технических специалистов
  • Планирование резервного времени

Подготовка команды — назначение ответственных лиц

  • Технический координатор
  • Координатор безопасности
  • Процедуры эскалации

Активная фаза тестирования

Разведка (1-2 дня)

  • Сканирование внутренней сети
  • Анализ Active Directory
  • Перечисление сервисов и ресурсов

Поиск путей эскалации (2-3 дня)

  • Анализ локальных уязвимостей
  • Поиск учетных данных
  • Проверка конфигураций систем

Латеральное движение (3-5 дней)

  • Переход между системами
  • Тестирование сегментации сети
  • Расширение доступа

Достижение целей (1-2 дня)

  • Доступ к критичным системам
  • Демонстрация воздействия
  • Документирование результатов

Документирование — параллельно с тестированием

  • Ведение детальных логов
  • Создание скриншотов
  • Подготовка доказательств

Постобработка (3-5 дней)

Анализ результатов — систематизация найденных уязвимостей

  • Классификация по критичности
  • Оценка бизнес-воздействия
  • Приоритизация исправлений

Подготовка отчета — техническая и управленческая части

  • Executive Summary
  • Техническая документация
  • Рекомендации по устранению

Презентация результатов — представление находок руководству

  • Презентация для технической команды
  • Презентация для руководства
  • Планирование remediation

Планирование remediation — приоритизация исправлений

  • Быстрые исправления
  • Среднесрочные задачи
  • Долгосрочная стратегия

Реальный кейс: критичная уязвимость во внутренней сети

Исходная ситуация

Крупная финансовая организация с 2,500 сотрудниками решила провести внутренний пентест в рамках подготовки к регулятивному аудиту. IT-департамент был уверен в надежности внутренней инфраструктуры — недавно была проведена модернизация Active Directory, внедрены современные средства мониторинга, все серверы переведены на актуальные версии ОС.

Начальные условия тестирования:

  • Учетные данные обычного сотрудника отдела продаж
  • Доступ к рабочей станции в корпоративной сети
  • Стандартные права пользователя без административных привилегий

Ход атаки

День 1: Разведка и первоначальный анализ

Началось с анализа доступных ресурсов для обычного пользователя:

# Перечисление доменных пользователей
Get-DomainUser | Select samaccountname | measure
# Результат: 2,847 пользователей

# Поиск сервисных аккаунтов
Get-DomainUser -SPN | Select samaccountname,serviceprincipalname
# Найдено: 23 сервисных аккаунта

Критичная находка: Обнаружен сервисный аккаунт svc_backup с SPN для службы резервного копирования.

День 2: Kerberoasting атака

Выполнена Kerberoasting атака для получения хеша пароля сервисного аккаунта:

Rubeus.exe kerberoast /user:svc_backup /outfile:hash.txt

Полученный хеш был взломан за 4 часа с использованием словаря паролей:

  • Пароль: Backup2019!
  • Сложность: Соответствует корпоративной политике, но предсказуем

День 3: Эскалация привилегий

Анализ прав аккаунта svc_backup показал:

  • Член группы Backup Operators
  • Права SeBackupPrivilege и SeRestorePrivilege
  • Доступ ко всем файлам на серверах для резервного копирования

Используя права резервного копирования, получен доступ к файлу ntds.dit (база данных Active Directory):

# Создание теневой копии системного диска контроллера домена
wbadmin start backup -backupTarget:C:\temp\ -include:C: -quiet

# Извлечение ntds.dit из теневой копии
copy "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit" C:\temp\

День 4: Полная компрометация домена

Из полученной базы данных AD извлечены хеши всех пользователей:

secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

Результаты анализа хешей:

  • 156 аккаунтов с одинаковыми паролями
  • 89 аккаунтов администраторов с взламываемыми паролями
  • 12 аккаунтов с паролями, совпадающими с именем пользователя

Критичная находка: Пароль аккаунта Domain Admin был взломан за 2 минуты — CompanyName2019!

Масштаб компрометации

С правами администратора домена получен доступ к:

  • Всем файловым серверам — 15 ТБ корпоративных данных
  • Базам данных клиентов — 890,000 записей с персональными данными
  • Системе интернет-банкинга — через интеграцию с AD
  • Системам мониторинга — возможность скрыть следы атаки

Потенциальные последствия:

  • Полная компрометация клиентской базы данных
  • Доступ к коммерческой тайне и стратегическим планам
  • Возможность проведения мошеннических операций
  • Нарушение требований регуляторов по защите данных

Выводы и рекомендации

Немедленные действия (выполнены в течение 24 часов):

  1. Смена пароля сервисного аккаунта svc_backup
  2. Аудит и смена всех слабых паролей администраторов
  3. Ограничение прав группы Backup Operators
  4. Внедрение мониторинга Kerberoasting атак

Среднесрочные улучшения (1-3 месяца):

  1. Внедрение Managed Service Accounts для сервисных аккаунтов
  2. Сегментация сети с ограничением латерального движения
  3. Внедрение Privileged Access Management (PAM)
  4. Регулярная ротация паролей критичных аккаунтов

Долгосрочная стратегия (3-12 месяцев):

  1. Переход на бесконтактную аутентификацию (Windows Hello for Business)
  2. Внедрение Zero Trust архитектуры
  3. Создание Security Operations Center (SOC)
  4. Регулярные Red Team операции

Ключевые выводы:

  • Даже соответствующие политике пароли могут быть предсказуемыми
  • Права резервного копирования требуют особого контроля
  • Необходим постоянный мониторинг Kerberos-атак
  • Критична сегментация доступа к контроллерам домена

Этот случай демонстрирует, как одна уязвимость может привести к полной компрометации корпоративной инфраструктуры. Регулярное проведение внутренних пентестов позволяет выявлять такие цепочки атак до их использования злоумышленниками.

Рекомендации по подготовке к внутреннему пентесту

Техническая подготовка

Инвентаризация внутренних активов

  • Серверы: полный список с ролями и критичностью
  • Рабочие станции: количество и типы ОС
  • Сетевое оборудование: коммутаторы, маршрутизаторы, файрволы
  • Специализированные системы: SCADA, медицинское оборудование, принтеры

Документирование сетевой архитектуры

  • Схема сегментации сети — VLAN, подсети, зоны безопасности
  • Диаграмма доверительных отношений — домены, леса, внешние доверия
  • Карта критичных данных — где хранится конфиденциальная информация
  • Схема резервного копирования — системы и процедуры backup

Подготовка систем мониторинга

# Включение расширенного аудита в Windows
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Object Access" /success:enable /failure:enable
auditpol /set /category:"Privilege Use" /success:enable /failure:enable

Создание резервных копий

  • Полные копии критичных систем — возможность быстрого восстановления
  • Конфигурации сетевого оборудования — backup настроек
  • Базы данных — актуальные дампы перед тестированием
  • Тестирование восстановления — проверка работоспособности backup

Организационная подготовка

Формирование команды реагирования

Технический координатор

  • Системный администратор с полными правами
  • Знание всех систем и их взаимосвязей
  • Доступность 24/7 на период тестирования
  • Полномочия для принятия оперативных решений

Координатор безопасности

  • Специалист по информационной безопасности
  • Понимание методологии пентестинга
  • Связь с руководством компании
  • Координация с внешними подрядчиками

Бизнес-представитель

  • Понимание критичности различных систем
  • Полномочия для остановки тестирования при необходимости
  • Оценка бизнес-воздействия найденных уязвимостей

Процедуры эскалации

Уровень 1: Обнаружение уязвимости средней критичности
→ Уведомление технического координатора (в течение 2 часов)

Уровень 2: Обнаружение критичной уязвимости
→ Немедленное уведомление всей команды реагирования

Уровень 3: Риск нарушения работы критичных систем
→ Остановка тестирования, экстренное совещание

Уведомления и согласования

Внутренние команды

  • Служба безопасности — предотвращение ложных тревог
  • Сетевые администраторы — мониторинг нагрузки на сеть
  • Администраторы баз данных — контроль доступа к критичным данным
  • Служба поддержки — готовность к обработке инцидентов

Внешние стороны

  • Интернет-провайдеры — уведомление о возможной аномальной активности
  • Поставщики ПО — координация в случае обнаружения 0-day уязвимостей
  • Аудиторы — если тестирование проводится в рамках аудита
  • Страховые компании — уведомление согласно условиям полиса

Правовые аспекты

Документооборот

  • Договор на оказание услуг — четкое определение границ тестирования
  • Техническое задание — детальное описание целей и методов
  • Соглашение о неразглашении — защита конфиденциальной информации
  • Протокол о результатах — официальное оформление итогов

Соответствие требованиям

  • 152-ФЗ «О персональных данных» — особенности работы с ПДн
  • Требования ЦБ РФ — для финансовых организаций
  • Отраслевые стандарты — PCI DSS, HIPAA, ISO 27001
  • Внутренние политики — соответствие корпоративным требованиям

Что делать после получения результатов внутреннего пентеста

Анализ и приоритизация результатов

Классификация уязвимостей по критичности

Критичные (CVSS 9.0-10.0)

  • Возможность полной компрометации домена
  • Доступ к критичным бизнес-данным
  • Нарушение работы критичных систем
  • SLA устранения: 24-48 часов

Высокие (CVSS 7.0-8.9)

  • Эскалация привилегий до уровня администратора
  • Латеральное движение между критичными сегментами
  • Доступ к конфиденциальным данным
  • SLA устранения: 1 неделя

Средние (CVSS 4.0-6.9)

  • Локальная эскалация привилегий
  • Доступ к некритичным данным
  • Нарушение политик безопасности
  • SLA устранения: 1 месяц

Низкие (CVSS 0.1-3.9)

  • Информационные утечки
  • Неправильные конфигурации без прямого воздействия
  • Нарушения best practices
  • SLA устранения: 3 месяца

Оценка бизнес-воздействия

Матрица рисков = Вероятность эксплуатации × Бизнес-воздействие

Высокий риск: Немедленное устранение
Средний риск: Устранение в плановом порядке
Низкий риск: Устранение при наличии ресурсов

План устранения уязвимостей

Быстрые исправления (Quick Wins)

Управление паролями

  • Принудительная смена слабых паролей
  • Внедрение политики сложных паролей
  • Отключение неиспользуемых аккаунтов
  • Ротация паролей сервисных аккаунтов

Обновления безопасности

# Автоматизированная установка критичных обновлений
Get-WUInstall -AcceptAll -AutoReboot -Criteria "IsInstalled=0 and Type='Software' and BrowseOnly=0"

Ограничение прав доступа

  • Аудит членства в привилегированных группах
  • Применение принципа минимальных привилегий
  • Удаление избыточных прав на файловые ресурсы

Среднесрочные задачи (1-3 месяца)

Сегментация сети

  • Внедрение микросегментации
  • Настройка межсегментных файрволов
  • Ограничение латерального движения

Системы мониторинга

# Пример правила для обнаружения Kerberoasting
- rule: Kerberoasting Detection
  condition: >
    event_id=4769 and 
    ticket_encryption_type=0x17 and
    service_name!="krbtgt" and
    failure_code=0x0
  output: "Possible Kerberoasting attack detected"

Управление привилегированными аккаунтами

  • Внедрение PAM-решений
  • Just-in-Time доступ для администраторов
  • Многофакторная аутентификация для привилегированных аккаунтов

Долгосрочные инициативы (3-12 месяцев)

Zero Trust архитектура

  • Принцип «никому не доверяй, всегда проверяй»
  • Непрерывная аутентификация и авторизация
  • Шифрование всего трафика

Автоматизация безопасности

  • SOAR-платформы для автоматического реагирования
  • Интеграция систем безопасности
  • Машинное обучение для обнаружения аномалий

Программа осведомленности

  • Регулярные тренинги по кибербезопасности
  • Симуляции фишинговых атак
  • Культура безопасности в организации

Контроль выполнения и метрики

KPI программы устранения уязвимостей

Скорость устранения

  • Среднее время устранения критичных уязвимостей
  • Процент уязвимостей, устраненных в срок
  • Количество просроченных исправлений

Эффективность мер защиты

  • Количество повторно обнаруженных уязвимостей
  • Снижение общего количества уязвимостей
  • Улучшение оценок в матрице рисков

Готовность к инцидентам

  • Время обнаружения подозрительной активности
  • Время реагирования на инциденты
  • Эффективность процедур восстановления

Повторное тестирование

Ретест критичных уязвимостей

  • Проверка исправлений через 2-4 недели
  • Подтверждение эффективности мер защиты
  • Выявление новых векторов атак

Регулярный внутренний пентест

  • Ежегодное полномасштабное тестирование
  • Квартальные проверки критичных систем
  • Тестирование после значительных изменений инфраструктуры

Заключение

Внутренний пентест — это не просто техническая процедура, а критически важный элемент стратегии защиты от современных киберугроз. В эпоху, когда 76% атак включают латеральное движение по корпоративной сети, понимание внутренних уязвимостей становится вопросом выживания бизнеса.

Результаты практики показывают, что 94% протестированных организаций имеют критичные уязвимости во внутренней инфраструктуре, которые позволяют злоумышленнику получить полный контроль над сетью в течение 24-48 часов. При этом средняя стоимость одного инцидента кибербезопасности значительно превышает затраты на профилактическое внутреннее тестирование.

Ключевые выводы:

  • 87% успешных атак используют техники, выявляемые внутренним пентестом
  • Компании, проводящие регулярные внутренние тесты, в 4 раза быстрее обнаруживают и устраняют инциденты
  • Внутренние угрозы составляют до 60% всех инцидентов безопасности

Не ждите, пока злоумышленники проведут свой собственный «пентест» вашей инфраструктуры. Инвестиции в внутреннее тестирование безопасности сегодня — это защита репутации, финансов и будущего вашего бизнеса завтра.

Готовы узнать, насколько защищена ваша внутренняя инфраструктура? Свяжитесь с экспертами по информационной безопасности для проведения комплексного внутреннего пентеста. Профессиональное тестирование поможет выявить скрытые угрозы и построить надежную защиту изнутри.