«Почта России» провела масштабные киберучения с пентестерами

АО «Почта России» вместе с Группой компаний «Солар», «Лабораторией Касперского», Positive Technologies и «Инфосистемы Джет» осенью 2025 года завершила первую фазу трёхлетнего проекта по созданию киберустойчивой ИТ-инфраструктуры. Её финальный этап — независимая верификация в формате киберучений с имитацией атаки профессиональных злоумышленников, которую проводила компания «Инфосистемы Джет».

Проект создания киберустойчивости АО «Почта России» стартовал в июне 2025 года. Он стал первым примером такой масштабной кооперации лидеров российского ИБ-рынка. Защищать инфраструктуру продолжают 250 специалистов из 22 компаний, а общие трудозатраты уже достигли 100 человеко-лет. По плану к 2028 году защита должна охватить 38 тысяч почтовых отделений, 3 дата-центра, 11 логистических центров и 100 тысяч рабочих станций.

Группа компаний «Солар», как генеральный архитектор программы, разработала единую процессную модель и координировала взаимодействие участников. Полтора десятка экспертов проектного офиса проработали 65 технических заданий и утвердили 26 техпроектов, что составило в сумме 350 тысяч страниц документации. Из 324 запланированных этапов реализован уже 121. Управление ИБ централизовали в едином окне IRP/SGRC/SOAR с метриками и дашбордами для мониторинга в реальном времени.

Команда пентестеров (Red Team) месяц проводила комплексные киберучения и тестирование на проникновение инфраструктуры «Почты России». Проверяли всё, что доступно потенциальному злоумышленнику: внешний сетевой периметр, веб-ресурсы, беспроводные сети, физическую безопасность и методы социальной инженерии. Для улучшения эффекта команду усилили 12 узкопрофильными пентестерами, специализирующимися в разных областях.

Пентестеры сделали особый упор на моделирование долгосрочных целенаправленных атак, которые реальные злоумышленники развивают постепенно, проникают в инфраструктуру, закрепляются и маскируются под легитимного пользователя. Команда нашла ранее не известные уязвимости и реализовала 10 вредоносных сценариев, четыре из которых оказались новыми для защитников.

Участники Red Team использовали ранее не известные уязвимости в прикладном софте, блокировали аккаунты защитников, прятали множество запасных точек проникновения в сеть. Однако сборная команд защиты не делала никаких поблажек атакующей стороне.

Команда центра мониторинга безопасности и специалисты по информационной безопасности «Почты России» также активно защищались от атакующих. Среднее время реагирования на инциденты сократилось в ходе учений. Многие атаки быстро блокировали, и они не достигли целей.

Чтобы преодолеть сопротивление защитников, атакующая сторона применяла нетривиальные методы. Атакующие маскировали свои действия под легитимную пользовательскую активность, использовали стандартные инструменты администрирования, последовательно перебирали учётные данные. Они дезинформировали Blue Team с помощью отвлекающих шумных атак на периметр и внутри сети.

На основе найденных рисков и успешных сценариев были изменены мониторинг и защита инфраструктуры «Почты России». Следующие этапы проекта предполагают добавление новых подсистем защиты и регулярное тестирование системы на киберугрозы.

Руководитель дирекции информационной безопасности «Почты России» Роман Шапиро отметил, что тренировка в условиях реального функционирования организации позволяет определить узкие места ИБ-подсистем. По словам Шапиро, такой формат даёт возможность перепроверить гипотезы, исходя из которых создавались системы защиты, а также скорректировать и приоритизировать дальнейшие шаги. Роман Шапиро подчеркнул, что в учениях участвовали не только сотрудники ИT- и ИБ-подразделений, но и все работники компании.