Спинтеховец разработал систему автоматического контроля защищённости рабочих станций

Студент Института системной и программной инженерии и информационных технологий (Институт СПИНТех) Дмитрий Горнушкин (группа ПИН-44) успешно защитил выпускную квалификационную работу, посвящённую разработке программного средства контроля состояния защищённости автоматизированных рабочих мест — инструмента, позволяющего в автоматическом режиме выявлять признаки компрометации рабочих станций Windows в составе комплекса информационной безопасности САКУРА.

Рабочая станция сотрудника является одной из наиболее уязвимых точек корпоративной инфраструктуры: через неё злоумышленник может получить первоначальный доступ, закрепиться в системе и продвинуться вглубь сети. Современные средства защиты конечных точек — антивирусы и EDR-системы — успешно справляются с обнаружением вредоносного ПО и типовых угроз, однако они ограничены при реализации собственных параметризованных проверок, учитывающих требования и политику безопасности конкретной организации. Для одной компании съёмный накопитель или средство удалённого администрирования являются разрешёнными, а для другой — нарушением политики безопасности.

Именно поэтому было принято решение разработать отдельное программное средство и интегрировать его непосредственно в уже используемый программный комплекс САКУРА, что позволило сосредоточиться на прикладной логике контроля, не создавая отдельной инфраструктуры мониторинга.

«Главная сложность заключалась в балансе между чувствительностью и количеством ложных срабатываний. Если проверка слишком строгая — администратор тонет в шуме от легитимных действий и перестаёт доверять системе. Если слишком мягкая — пропускает реальную угрозу. Пришлось для каждого правила продумывать списки исключений и механизм эталонного состояния, чтобы система реагировала именно на отклонения, а не на любое изменение», — рассказывает Дмитрий.

В основе разработки — комплект параметризованных сценариев на языке PowerShell, выполняемых агентом САКУРА на рабочих станциях под управлением Windows 10/11. Сценарии покрывают все ключевые этапы развития кибератаки: от контроля доменной принадлежности и групповых политик до выявления туннелирующего программного обеспечения и мониторинга процессов, запущенных от критичных учётных записей. Данные собираются исключительно штатными средствами ОС без установки сторонних зависимостей на рабочие места. Результаты работы представлены на 33-й Всероссийской межвузовской научно-технической конференции «Микроэлектроника и информатика — 2026», где работа заняла третье место в секции «Информационная безопасность».

Поздравляем Дмитрия с успешной защитой и желаем дальнейших достижений в научной и профессиональной деятельности!