Обзор рынка услуг по оценке киберзащищённости методом Red Team Operations в России и за рубежом

Анализ мирового и российского рынка показал, что спектр услуг, объединённых под понятием Red Team Operations, стал значительно шире. Задачи и содержание таких операций эволюционировали вместе с ростом требований к киберзащищённости. Как именно — рассмотрим в статье.

 

 

 

 

 

 

1. 1. Введение
2. 2. Что такое Red Team Operations
   
   1. 2.1. Чем Red Team отличается от пентеста и BAS
   2. 2.2. Продолжительность операции
3. 3. Мировой рынок услуг по оценке киберзащищённости Red Team Operations
4. 4. Российский рынок услуг по оценке киберзащищённости Red Team Operations
   
   1. 4.1. Angara Security
   2. 4.2. BI.ZONE
   3. 4.3. DSEC by Solar (бывший Digital Security, входит в ГК «Солар»)
   4. 4.4. BSS
   5. 4.5. Эфшесть/F6
   6. 4.6. ITGLOBAL.COM
   7. 4.7. Positive Technologies
   8. 4.8. RTM Group
   9. 4.9. НТЦ «Вулкан»
   10. 4.10. «Информзащита»
   11. 4.11. «Инфосистемы Джет»
   12. 4.12. «Лаборатория Касперского»
   13. 4.13. «СЕЙФТИ ГАРДЕН»
5. 5. Выводы

Введение

Статистика кибератак — как мировая, так и отечественная — демонстрирует, что применяемые меры защиты не обеспечивают требуемого уровня устойчивости информационных систем. Даже при формальном соблюдении требований безопасности сохраняются сценарии, в рамках которых злоумышленник способен реализовать атаку и достичь поставленных целей.

Эта проблема напрямую связана с темпами развития технологий. Внедрение новых архитектур и сервисов сопровождается появлением уязвимостей, которые на ранних этапах остаются незамеченными. При этом средства защиты информации адаптируются медленнее, чем изменяется сама инфраструктура. Ограниченное количество квалифицированных специалистов и недостаточная зрелость ряда решений усиливают разрыв между уровнем угроз и возможностями защиты.

Отдельное влияние оказывает импортозамещение. Переход на альтернативные информационные технологии часто выполняется в сжатые сроки, без достаточной глубины анализа и тестирования. Это повышает вероятность сохранения архитектурных недостатков и невыявленных уязвимостей.

На этом фоне меняется и подход к оценке защищённости. Практики, которые ранее рассматривались как узкоспециализированные, постепенно расширяют область применения и начинают использоваться шире, в том числе на уровне регулярной проверки инфраструктуры. Это касается и Red Team Operations (редтиминга), содержание и задачи которых со временем претерпели изменения. Рассмотрим, как трансформировалось это направление и какие инструменты используются для его реализации.

Что такое Red Team Operations

Концепция Red Team появилась в военной сфере, где силы делились на «синие» (Blue Team) и «красные» (Red Team) для отработки боевых сценариев. В 90-х годах этот подход был адаптирован специалистами по информационной безопасности (ИБ). Ранее основная задача редтиминга заключалась в демонстрации возможности проникновения в систему: симуляции поведения реального злоумышленника, которая базировалась на актуальной информации о релевантных для конкретного заказчика угрозах.

Сегодня методология охватывает полный жизненный цикл атаки: от разведки и фишинга до эксплуатации уязвимостей, закрепления в инфраструктуре и эксфильтрации данных.

Red Team Operations представляют собой имитацию действий реального злоумышленника. Команда работает с реальной инфраструктурой заказчика, применяя подлинные инструменты и тактики киберпреступников, включая эксплойты нулевого дня (0-day) и методы социальной инженерии. Основная цель — оценить не только технологические уязвимости, но и способность службы ИБ своевременно обнаруживать и реагировать на атаки, ограничивая потенциальный ущерб.

Чем Red Team отличается от пентеста и BAS

Работа Red Team отличается от традиционного пентеста или имитации атак (Breach and Attack Simulation, BAS). В пентесте проверяющие ограничиваются выявлением уязвимостей и предоставлением отчёта, не пытаясь использовать их для компрометации системы. Аудит ИБ ориентирован на соответствие политикам и стандартам и не отражает реальной устойчивости организации к атакам.

В проектах Red Team специалистам противостоит не только программная инфраструктура, но и штат службы ИБ компании. Поскольку персонал чаще всего не осведомлён о проведении операции, его действия по обнаружению и реагированию на атаку максимально приближены к реальной ситуации.

В отличие от киберучений и использования киберполигона (Cyber Range), где сценарий заранее известен, Red Team действует скрытно, создавая условия, близкие к целевой атаке повышенной сложности (Advanced Persistent Threat, APT), длительно удерживая контроль над инфраструктурой и проверяя способность организации защищаться на всех этапах вторжения.

Продолжительность операции

Продолжительность операций Red Team зависит от масштаба организации. В крупных компаниях она может растягиваться на несколько месяцев и даже до 1 года, что позволяет всесторонне оценить готовность к атакам на всех этапах. Для небольших организаций операции обычно ограничиваются несколькими неделями. Команда использует все тактики, техники и процедуры киберпреступников в условиях работающей инфраструктуры с активными средствами защиты.

Мировой рынок услуг по оценке киберзащищённости Red Team Operations

В зарубежной практике редтиминг чаще называют Red Team Operations или Red Team Cybersecurity Assessment. По оценкам Worldwide Market Reports, в 2026 году объём этих услуг составит 1,2 млрд долларов США, а к 2033 году ожидается его рост до 2,8 млрд долларов США при среднегодовом темпе роста (Compound Annual Growth Rate, CAGR) 13,5% в период с 2026 по 2033 год. Согласно отчётам Wise Guy Reports, к 2035 году рынок достигнет 8 млрд долларов США.

 

Рисунок 1. Оценка мирового рынка Red Team Operations

 

В обоих случаях рост напрямую связан с увеличением сложности киберугроз и необходимостью проверки устойчивости инфраструктуры к различным видам атак.

Состав ключевых игроков в разных аналитических отчётах пересекается, что указывает на относительно стабильную конкурентную среду. В числе компаний, регулярно упоминаемых в обзорах рынка, присутствуют CrowdStrike, Palo Alto Networks, FireEye, Mandiant, IBM.

Российский рынок услуг по оценке киберзащищённости Red Team Operations

Рынок услуг редтиминга расширился с появлением новых игроков, предлагающих услуги на стыке тестирования на проникновение, оценки процессов реагирования и моделирования атак. Поэтому мы рассмотрим те предложения, которые по целям и методам максимально близки к Red Team Operations.

 

 

Angara Security

Сервис Red Team Operations — услуга по проверке качества работы процессов реагирования на инциденты кибербезопасности. В отличие от классического тестирования на проникновение, она позволяет получить реальную картину того, как именно будет реагировать компания в случае реальной кибератаки. Услуга позволяет ответить на вопрос, сможет ли компания вовремя обнаружить и остановить атаку, устранить причины её успешности и минимизировать потери.

В ходе работы команда Red Team имитирует настоящую целевую атаку с учётом особенностей и структуры компании. В её рамки попадает не только целевая компания, но и любые дочерние организации, юридически и технологически связанные с ней. При реализации атаки команды защиты не уведомляются до завершения работ для приближения условий к реальным.

Данная услуга актуальна для компаний, понимающих свои риски и ценность своей киберустойчивости.

Особенности:

• Полноценная имитация целевой атаки, а не точечное выявление уязвимостей.
• Использование актуальных техник, тактик и процедур из реальных атак, включая методы обхода СЗИ и уязвимости нулевого дня (0-day).
• Векторы учитывают все аспекты ИБ: технологии, процессы и людей.
• Тесное взаимодействие в рамках White Team для получения подробной информации о ходе атаки.
• Результат работ — полная хронология действий команды Red Team с привязкой ко времени и индикаторам компрометации (IoC).
• Оценка эффективности и рекомендации по улучшению процессов реагирования на инциденты.

Больше информации о сервисе — на сайте.

 

 

BI.ZONE

Команда вендора моделирует действия киберпреступников, чтобы выявить возможные сценарии компрометации и проверить, насколько эффективно работают текущие механизмы обнаружения и реагирования. В это время команда защиты получает практический опыт для отражения сложных атак, а руководство — обоснование для решений по инвестициям в безопасность.

Работы начинаются с определения формата и сценариев Red Teaming с учётом целей заказчика и установленных ограничений. Далее проводится сбор и анализ информации об объекте: изучается инфраструктура, доступные поверхности атаки и организационный контекст. На этой основе отрабатываются векторы преодоления периметра и получения первоначального доступа. После закрепления в инфраструктуре атака развивается до достижения значимых бизнес-рисков. По итогам фиксируются выявленные уязвимости, цепочки атак и их последствия. Результаты разбираются совместно с командой защиты.

Особенности:

• Выбор векторов атак с учётом отраслевой специфики бизнеса. Реализация модели злоумышленника под любой ландшафт угроз.
• Бесплатная проверка, устранены ли ранее выявленные уязвимости, в течение 3 месяцев после предоставления отчёта.
• Проектная команда состоит из специалистов с сертификатами международного уровня, реализовавших более 1100 offensive-проектов и входящих в топ-3 рейтинга ФСТЭК России по найденным 0-day-уязвимостям.
• Возможность использования BI.ZONE Red Team как инструмента выполнения требований указа Президента РФ № 250, а также других нормативных документов для КИИ и государственных организаций.

Больше информации об услуге — на сайте вендора.

 

 

DSEC by Solar (бывший Digital Security, входит в ГК «Солар»)

Red Team тестирование DSEC by Solar воспроизводит реальные условия атак, позволяя оценить способность организации обнаруживать вторжения и эффективно на них реагировать. Команда вендора начинает работу с минимального объёма исходной информации без использования белых списков, что обеспечивает реалистичное моделирование действий нарушителя и выявление уязвимостей на всех уровнях инфраструктуры и процессов реагирования.

Особенности:

• Использование разных методов: компрометация внешнего периметра, социальная инженерия, атаки на беспроводные сети, физический доступ к объектам инфраструктуры, закрепление в скомпрометированных системах.
• Составление комплексных сценариев атак, сочетающих несколько методов одновременно.
• Круг лиц, осведомлённых об атаке, должен быть максимально ограничен.

Больше информации об услуге — на сайте вендора.

 

 

BSS

Вендор предлагает услугу Red Team, направленную на демонстрацию работоспособности службы информационной безопасности и способности банка противостоять реальным атакам. В рамках услуги проводятся атаки, максимально приближенные к реальным, что позволяет получить объективную оценку устойчивости организации к актуальным киберугрозам.

Применяемые методы охватывают компрометацию внешнего периметра, использование техник социальной инженерии, атаки на беспроводные сети и получение физического доступа к объектам инфраструктуры. Отдельное внимание уделяется закреплению в скомпрометированных системах с целью дальнейшего развития атаки.

Особенности:

• Атаки на инфраструктуру проводятся без жёстких ограничений по времени и используемым ресурсам.
• Предоставление отчёта об успешности или неуспешности атак на ИТ-инфраструктуру банка, данных о найденных уязвимостях в корпоративной сети.
• Формирование рекомендаций по повышению уровня защищённости ИТ-инфраструктуры заказчика.

Больше информации об услуге — на сайте вендора.

 

 

Эфшесть/F6

Red Teaming от F6 предполагает реализацию комплексных сценариев атак с применением методов и инструментов, характерных для реальных злоумышленников. Подход строится на проверке гипотез, которые задают цели и определяют логику развития атак. Примером может служить получение доступа к целевому сервису при наличии ограниченного начального доступа.

Для атакующей команды приоритетом является достижение заданной цели вне зависимости от промежуточных ограничений. В этих условиях защищающаяся сторона должна будет сосредоточиться на своевременном выявлении активности и минимизации последствий атаки.

Редтиминг позволит оценить не только защищённость инфраструктуры и общую эффективность выстроенной системы безопасности, но и готовность сотрудников к выявлению и реагированию на инциденты.

Особенности:

• Red Teaming от вендора предназначен для компаний с высоким уровнем зрелости ИБ-процессов.
• Результат услуги — практические доказательства того, как далеко может зайти атака даже при текущем уровне защиты.
• Информирование обо всех уязвимостях, в том числе связанных с сотрудниками, что помогает повысить эффективность внутренних процессов и выстроить программу обучения.
• Получение подробного описания использованных техник и индикаторов компрометации, требующих внимания.

Больше информации об услуге — на сайте вендора.

 

 

ITGLOBAL.COM

Red Team в ITGLOBAL.COM Security — это команда пентестеров, специалисты которой имитируют целевые кибератаки злоумышленников. Её цель: найти уязвимости в защите корпоративной сети и элементах сетевой инфраструктуры компании и дать бизнесу рекомендации, как их устранить.

Особенности:

• Методика согласовывается с каждым заказчиком индивидуально. Однако за основу всегда берутся лучшие практики, стандарты и гайды, принятые в отрасли — NIST SP800-115, WSTG (Web Security Testing Guide) и OSSTMM (Open Source Security Testing Methodology Manual) и другие.
• Наблюдение за выявленными уязвимостями в специальной панели.
• Предоставление отчёта с обнаруженными уязвимостями, возможными векторами атак, подкреплёнными скриншотами, рекомендациями по устранению уязвимостей. Структура отчёта включает в себя 3 раздела, которые будут полезны специалистам ИБ и ИТ, руководству компании.
• Работа проводится удалённо через интернет.

Больше информации об услуге — на сайте вендора.

 

 

Positive Technologies

Команда этичных хакеров Positive Technologies помогает обнаружить слабые места в системе безопасности и предупреждать возможные атаки на инфраструктуру. Вендор специализируется на разных направлениях анализа защищённости, выявляет возможные векторы атак на ресурсы компании, проходя весь путь злоумышленника с использованием разных моделей нарушителей.

Особенности:

• Оценка реального уровня защищённости компании через имитацию атак APT-группировок в условиях, приближённых к реальным, — включая активное противодействие SOC заказчика.
• Анализ защищённости отдельных объектов инфраструктуры через выявление существующих уязвимостей и недостатков, допущенных в ходе проектирования, разработки и эксплуатации конкретной системы. Предоставление рекомендаций по их устранению.
• Комплексный анализ защищённости микроэлектроники и встраиваемых систем R&D-центром Positive Technologies (Positive Labs). Глубокое исследование электронных устройств — от простых сенсоров до сложных встраиваемых систем — для усиления защиты разрабатываемых продуктов и верификации безопасности сторонних решений.
• Комплексный анализ защищённости АСУ ТП с глубоким погружением в специфику производства. Поиск и оценка влияния эксплуатации каждой уязвимости на функциональную безопасность: нарушение технологического процесса, возникновение аварийной ситуации или остановка производства. Функциональная безопасность остаётся в фокусе на каждом этапе работ.

Больше информации об услуге — на сайте вендора.

 

 

RTM Group

Редтиминг от RTM Group представляет собой комплексное моделирование атак, проводимое экспертами по ИБ с целью оценки реальной устойчивости организации к киберугрозам. Он охватывает не только технические средства защиты, но и готовность персонала, процессов и инфраструктуры к отражению вторжений.

Услуга подойдёт любым организациям, стремящимся глубоко проанализировать состояние кибербезопасности своих ключевых ресурсов и усовершенствовать свои защитные процессы.

Особенности:

• Анализ физических, аппаратных, программных компонентов, человеческого фактора для выявления потенциальных точек компрометации. Оценка готовности подразделений, сотрудников и мер защиты к отражению кибератак.
• Проведение пентестов по чёрному и белому ящикам, использование социальной инженерии, внедрение сотрудников для имитации методов действий реальных нарушителей.
• Предоставление рекомендаций по устранению выявленных недостатков.

Больше информации об услуге — на сайте вендора.

 

 

НТЦ «Вулкан»

Вендор моделирует деятельность киберпреступной группы для выявления недостатков в обеспечении защищённости. В отличие от тестирования на проникновение, которое преимущественно фокусируется на технологических аспектах системы ИБ, активности Red Team, по мнению НТЦ «Вулкан», охватывают как технические, так и организационные компоненты. Это позволяет получить целостное представление о текущем состоянии защиты и согласованности её процессов.

В составе услуги Red Teaming вендор осуществляет комплексную проверку персонала, процессов и средств защиты.

Особенности:

• Проведение оценки уровня квалификации специалистов ИБ, качества и применимости регламентов, определяющих их действия.
• Анализ адекватности мер, принятых для защиты данных организации заказчика.
• Продолжительность деятельности Red Team — от 2 месяцев и более, при этом максимальная эффективность достигается при сотрудничестве на постоянной основе.

Больше информации об услуге — на сайте вендора.

 

 

«Информзащита»

Услуга «Тестирование защищённости по модели Red Team» оказывается на базе центра IZ:SOC, специализирующегося на управлении событиями информационной безопасности. Компания проводит имитацию целевых атак, которые позволяют проверить готовность компании противостоять сложным и скрытым угрозам, оценить оперативность детектирования и эффективность реагирования команды ИБ на реальные инциденты.

Предлагаются 2 варианта проведения редтиминга. Киберучения проводятся на учебной модели в тестовом сегменте сети клиента. Формат предназначен для проверки знаний сотрудников и отработки плейбуков, инструкций и протоколов реагирования на инциденты. Имитация APT-группировки — работы проводятся вслепую: о проекте знает только руководитель ИБ. Red Team последовательно отрабатывает все этапы атаки: от первоначального проникновения до достижения целевых систем. Остальные сотрудники не осведомлены о проведении учений, что позволяет получить объективную оценку реальной готовности компании к отражению целевых атак.

Особенности:

• Атаки могут проводиться как открыто (для проверки настроек средств защиты), так и скрытно (для отработки реальных действий персонала и пользователей).
• Команда атакующих действует без жёсткого тайм-лимита, что имитирует поведение реального злоумышленника. Типовая продолжительность проекта — 6 месяцев.
• Периодически Red Team информирует заказчика о глубине проникновения и наличии явных брешей в безопасности.
• Результат — детализированный отчёт с рекомендациями по устранению выявленных уязвимостей и улучшению защиты инфраструктуры.

Больше информации об услуге — на сайте компании.

 

 

«Инфосистемы Джет»

Вендор рассматривает тестирование на проникновение (пентест) как контролируемое моделирование действий нарушителя для проверки эффективности существующих механизмов защиты в условиях, приближённых к реальным. В ходе работ отрабатываются различные векторы атак, что позволяет выявить как технические уязвимости инфраструктуры, так и оценить способность сотрудников своевременно выявлять инциденты и корректно реагировать на них.

Red Team является частью этих работ и фокусируется на имитации целенаправленных атак, сопоставимых по логике и этапам с действиями реальных злоумышленников. В рамках сценария воспроизводится комплексная атака с учётом особенностей инфраструктуры и бизнес-процессов заказчика. Это даёт возможность проверить, как на практике работают процессы мониторинга и реагирования, а также оценить устойчивость ИТ-инфраструктуры к многоэтапным атакам.

Особенности:

• Проведение разведки на основе открытых источников (Open Source Intelligence, OSINT), а также поиск информации в утечках и даркнете.
• Моделирование целевых атак изнутри и извне с различными моделями нарушителя, включая развитие атаки с внешнего периметра, обход используемых СЗИ и техники сохранения доступа (закрепления).
• Полный перечень возможных работ: от анализа защищённости беспроводных сетей до анализа кода.
• Результат — отчёт с описанием методик работ, успешных векторов атак, уязвимостей, рекомендации по устранению выявленных точечных проблем и по усовершенствованию процессов в целом.

Больше информации об услуге — на сайте вендора.

 

 

«Лаборатория Касперского»

Kaspersky Red Teaming — моделирование реальных продвинутых кибератак, позволяющее обнаружить уязвимости, оценить эффективность реагирования и повысить общий уровень защищённости ИТ-инфраструктуры. Оно охватывает все этапы цепочки атаки: от начальной компрометации до дальнейшего перемещения по сети и эксфильтрации данных.

Сервис начинается с обсуждения актуальных угроз и опыта Blue Team заказчика для определения приоритетных активов и уточнения сценариев проверки. При этом целевые системы не раскрываются: Red Team выполняет самостоятельный сбор информации, моделируя подход реального нарушителя.

Работы проводятся поэтапно. На стадии подготовки согласуются цели, предварительные сценарии и порядок взаимодействия. Далее следует этап киберразведки, включающий анализ инфраструктуры на основе аналитических данных об угрозах, корпоративной информации и открытых источников (Open Source Intelligence, OSINT), с уточнением поверхности атаки, утечек данных и рисков компрометации. После этого выполняется настройка сценариев и подготовка инструментов, за которой следует этап моделирования атаки. Завершающий этап включает подготовку отчётных материалов.

Особенности:

• Редтиминг проводится в соответствии с международными методами и стандартами, включая TIBER-EU, CBEST и AASE (Имитационные упражнения при моделировании кибератак).
• Заказчик должен предоставить официального сотрудника в качестве контактного лица для всех коммуникаций по проекту.
• Отчёт включает выводы о текущих возможностях защиты инфраструктуры. В нём приводится описание выявленных уязвимостей с оценкой их серьёзности, сложности эксплуатации и потенциального воздействия. Фиксируются проведённые действия с временными метками и индикаторами компрометации. Даются рекомендации по устранению проблем и повышению эффективности процессов реагирования и обнаружения.
• Возможность проведения семинара с «голубой» командой заказчика, чтобы обсудить результаты проекта, причины любых проблем и возможные улучшения в защите.

Больше информации об услуге — на сайте вендора.

 

 

«СЕЙФТИ ГАРДЕН»

Red Teaming от Safety Garden используется для проверки устойчивости к целевым атакам, верификации стратегической устойчивости компании-заказчика и её критичных бизнес-функций. В методологию включена оценка процессов управленческого контура ИБ и кросс-функциональных взаимодействий по завершении технических мероприятий. Такой подход частично покрывает аспект Purple Teaming, связанный с проверкой высокоуровневых функций.

В рамках Red Teaming тестируется совокупность технических средств защиты, подходов к их конфигурации и процессов реагирования на инциденты ИБ. Уделяется внимание скорости и корректности реагирования сотрудников на инциденты, зрелости процессов реагирования, включая кросс-функциональные эскалации. Это позволяет выявить слабые места, которые могут не обнаруживаться стандартными методами. Также осуществляется оценка готовности к отражению реальных атак и обеспечению непрерывности бизнеса как на уровне внутренней команды ИБ, так и при взаимодействии с другими департаментами компании, вовлекаемыми в работу с инцидентами ИБ.

Особенности:

• Выстраивание атаки вокруг критичных бизнес-функций заказчика и активов, ценных для их реализации.
• Фокус на анализе и симуляции действий APT, таких как кибершпионаж и целенаправленные атаки на организации сферы деятельности заказчика. Учитываются технические аспекты и особенности бизнеса заказчика для достижения максимального эффекта от проведённого анализа.
• Глубина исследования, критичные бизнес-процессы и цели воздействия, а также уровень информированности службы ИБ определяются исходя из бизнес-целей исследования.
• Возможность включения в команду внешних экспертов с полным раскрытием их ролей и зон ответственности для закрытия редких компетенций или по инициативе заказчика.
• Помимо технического отчёта по результатам проекта формируется Executive Summary с презентацией результатов и предложениями по стратегии изменений релевантных процессов, распределения компетенций и ответственности.
• Возможен долгосрочный или непрерывный формат исследований в рамках согласованной стратегии проверок.

Больше информации об услуге — на сайте вендора.

Выводы

По мере цифровизации процессов и сохранения высокой активности атакующих потребность в проверках, ориентированных не только на поиск уязвимостей, но и на оценку устойчивости к сложным сценариям атак, растёт. Это отражается на рынке: увеличивается число поставщиков, а содержание Red Team Operations усложняется. Расширяется охват проверяемых систем, углубляется проработка векторов атак и повышаются требования к оценке процессов обнаружения и реагирования.

Но рынок услуг редтиминга остаётся слабо формализованным. Практика в целом сложилась, однако единый подход к его определению и составу работ отсутствует. Это приводит к тому, что вендоры по-разному трактуют содержание Red Teaming: одни выделяют его в отдельную услугу, другие включают в состав тестирования на проникновение или комплексной оценки защищённости.

Причина этого в специфике самих работ. Редтиминг ориентирован на моделирование целенаправленных атак с учётом особенностей конкретной организации, её инфраструктуры и бизнес-процессов. Такой формат сложно стандартизировать, поскольку сценарии, глубина проверки и используемые методы всегда зависят от целей заказчика и принятой модели угроз.