Корпоративная сеть НИУ ВШЭ представляет собой обширную площадь для проведения атак: мобильные приложения, веб-сайты, VPN, пользовательский сегмент, в который имеют доступ не только преподаватели, но и студенты. Чтобы обезопасить систему от взлома, необходимо выстраивать процесс управления уязвимостями и анализа защищенности. Для решения данной задачи планируется создать сервис, к которому будут подключены различные утилиты для исследования сети (Nmap, Masscan, Masscan-NG) и поиска уязвимостей...Подробнее

Выстраивание процесса автоматизированного сканирования сети ВШЭ с использованием инструментов DAST (Dynamic Application Security Testing) для непрерывного мониторинга защищенности инфраструктуры , включая поиск инфраструктурных уязвимостей и угрозы веб-приложений.

Работа ведется по циклам, установленным в календаре проектной работы МИЭМ. Задачи ставятся в начале цикла, в конце подводятся итоги по выполненному и создаются новые, корректируются прошлые задачи. Отчетность представляется по графику проектной работы МИЭМ. Представление проекта, экспертная сессия и защита проходят по стандартному календарю проектной работы.

• Итоговая документация по всем частям проекта

Доступ к необходимым вычислительным и коммуникационным ресурсам предоставляет МИЭМ. Потребуются виртуальные машины для развертывания дополнительных инструментов DAST и других, а также визуализации результатов.

В рамках проекта 1105 был осуществлен выбор инструментов для проведения анализа защищенности и сбора результатов. Данные наработки могут быть взяты за основу при создании системы