Offensive Security: как превратить пентесты из разовой проверки в стратегию безопасности

Как превратить пентесты из разовой проверки в стратегию безопасности? Эксперты рынка обсудили ключевые шаги: от выбора между своей командой и аутсорсом до оценки реального влияния на бизнес-риски. Узнайте, какие тренды определят развитие наступательной безопасности в ближайшие годы.

 

 

 

 

 

 

1. Введение
2. Что такое Offensive Security?
3. Какой формат выбрать?
4. Как выбрать подрядчика?
   
   1. 4.1. Какие ошибки заказчики совершают при выборе подрядчика?
5. Как объяснить бизнесу необходимость Offensive Security
6. Offensive Security — прямые расходы или инвестиция?
7. Реальные кейсы
8. Прогнозы экспертов: какие практики Offensive Security станут стандартом в 2026?
9. Выводы

Введение

Наступательная кибербезопасность (Offensive Security) давно вышла за рамки разовых пентестов, превратившись в ключевой элемент стратегии защиты. Речь идёт о непрерывной безопасности — от инструментального анализа до полноценных упражнений Red Team, которые моделируют реальные сложные атаки. Однако сама по себе эта деятельность не принесёт ценности, если не интегрирована в процессы компании и не подкреплена действиями по устранению найденных уязвимостей.

Ключевой вопрос для компании — не просто выбрать подрядчика или создать внутреннюю команду, а выстроить систему, где результаты тестов напрямую влияют на приоритеты безопасности и бюджет. Только тогда затраты на Offensive Security превращаются из прямых расходов в стратегические инвестиции, повышающие общую устойчивость бизнеса к киберугрозам. Эксперты рынка обсудили, как вывести услуги Offensive Security на стратегический уровень.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Иван Булавин, директор по продуктам платформы Standoff 365, Positive Technologies.
• Дмитрий Зубарев, заместитель директора аналитического центра, УЦСБ.
• Евгений Янов, руководитель департамента аудита и консалтинга, F6.
• Анатолий Песковский, руководитель направления анализа защищённости IZ:SOC компании «Информзащита».
• Глеб Чербов, технический директор DSEC by Solar.
• Михаил Сидорук, руководитель управления анализа защищённости, BI.ZONE.
• Вячеслав Васин, руководитель центра компетенции по анализу защищённости, «Лаборатория Касперского».
• Василий Кравец, начальник отдела исследований информационных технологий, «Перспективный мониторинг».

Ведущий и модератор эфира — Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ.

 

 

Что такое Offensive Security?

Анатолий Песковский объяснил, что услуги Offensive Security можно разделить по этапам:

1. Поиск уязвимостей, инструментальный анализ при помощи сканеров, непрерывное тестирование на проникновение (Continuous Penetration Testing, CPT).
2. Тренировка — услуги анализа защищённости и пентест.
3. Подготовка к бою — Purple Team, где участвуют представители Blue Team и Red Team, тренер по нападению, тренер по защите, White Team (арбитр). Этот этап подходит для зрелых компаний, у которых есть операционный центр безопасности (Security Operations Center, SOC), технология обнаружения и реагирования на угрозы на конечных устройствах (Endpoint Detection and Response, EDR), система управления информацией и ИБ-событиями (Security Information and Event Management, SIEM). Это подход, когда моделируются тактики и техники, а синяя команда на них реагирует. Цель — научиться максимально эффективно защищаться от атак.
4. Реальный бой. Красная команда моделирует действия хакеров, её задача — оставаться максимально незаметной, а задача синей команды — как можно быстрее детектировать и предотвратить компрометации.

Есть направление Bug Bounty, но оно не относится к классическим работам по Offensive Security.

 

Анатолий Песковский, руководитель направления анализа защищённости IZ:SOC компании «Информзащита»

 

Иван Булавин добавил, что Bug Bounty — это постоянный анализ защищённости для отдельного решения или продукта. Есть кибериспытания — моделирование недопустимых событий в компании, которые для неё важны и могут быть реализованы.

Какой формат выбрать?

Что лучше — внутренние команды, внешние и гибридный формат? На каком этапе компании выгодно формировать собственную команду? Когда стоит заказывать услуги у профессионалов?

Глеб Чербов считает, что это вопрос экономической целесообразности. Содержать собственную команду дорого, её нужно обучать или найти уже обученных специалистов, что ещё сложнее. Найти компетентных людей во всех областях, которые требуются на начальном этапе, сложно, так как это широкий спектр. Внутренняя команда будет максимально приближена к инфраструктуре компании, она будет знать больше и работать эффективнее.

На ранних этапах стоит привлекать внешних подрядчиков, возможно попробовать поработать с разными компаниями, сравнить, увидеть, как это работает. Впоследствии, получив опыт, можно формировать свою команду, опираясь на собственные задачи, которые нужно решать.

 

Глеб Чербов, технический директор DSEC by Solar

 

Дмитрий Зубарев предложил посмотреть плюсы и минусы каждого подхода — они есть в любом формате. Подрядчики — свежий взгляд со стороны, они могут найти в инфраструктуре какие-то неожиданные нюансы. Это, как правило, люди с широкими компетенциями, они постоянно работают с разными компаниями, видят разные технологии и решения, у них хорошая ситуативная насмотренность. В экстренных ситуациях подрядчик может не помочь, например, срок действия договора завершён.

Внутренняя команда всегда рядом, это её главный плюс. Если в инфраструктуре что-то меняется или появляется информация о новых критических уязвимостях, можно сразу заложить в программу работ эти проверки, и команда их проведёт. При появлении уязвимостей своя команда может проверить их максимально оперативно. Из минусов собственной команды — замыливание взгляда: когда команда работает по одной инфраструктуре, она привыкает и перестаёт обращать внимание на какие-то вещи. Также у внутренних команд компетенции вширь растут медленнее, чем у тех, кто работает в разных инфраструктурах. Им может не хватать насмотренности.

При выборе формата нужно исходить из возможностей и задач. Если нужна разовая проверка, лучше с этим справится насмотренный взгляд со стороны. Также стоит выбрать подрядчика, если нужно выполнить требования регулятора. Если же нужно обеспечить постоянное непрерывное тестирование своей инфраструктуры с пониманием внутренних бизнес-процессов, то стоит строить свою красную команду. В идеале эти подходы нужно комбинировать, обеспечивать как постоянное тестирование, так и регулярные проверки внешними исполнителями.

 

Дмитрий Зубарев, заместитель директора аналитического центра, УЦСБ

 

Иван Булавин: «Кибериспытания — то, что может долгосрочно на постоянной основе выполнять задачи вместо внутренней команды Red Team, если её нет в компании. Это дешевле, чем пользоваться услугами внешней команды Red Team, здесь работает комьюнити, оплата за результат. Кибериспытания могут закрыть потребности и помочь компаниям, у которых нет больших бюджетов на ИБ. Вышел закон, который регламентирует проводить регулярные проверки критической информационной инфраструктуры (КИИ). Он наталкивает на то, что нужна собственная команда, чтобы не платить раз в квартал команде пентеста — это несоизмеримо по стоимости».

Анатолий Песковский добавил, что у внутренней команды стоят немного другие задачи — она нацелена тестировать на момент релиза или изменений в инфраструктуре. Каждый раз привлекать внешних специалистов невыгодно. Внутренняя команда позволяет здесь и сейчас закрыть уязвимости, подсветить разработчикам недочёты и сразу их закрыть. Но внешняя экспертиза иногда бывает шире, чем у внутренней команды.

Как выбрать подрядчика?

Вячеслав Васин предупредил, что не стоит вестись на маркетинг. Нужно собирать информацию, смотреть публичные отзывы компаний о проведённых работах. Можно делать запросы ТКП у разных вендоров. Как и в любых инвестициях, нужно периодически менять провайдера. Если недовольны выбором, не нужно расстраиваться, думать, что деньги потрачены зря, и бросать этим заниматься. Путём небольшого перебора в рамках конкурсов и запросов ТКП станет понятно, кто лучше доносит результаты, больше проводит работу перед проектом, указывает, на что нужно обратить внимание. Кроме этого, важна коммуникация.

Можно смотреть на то, в чём люди эксперты, есть ли у них много публикаций, выступлений на конференциях. Важно учитывать экспертизу. За рубежом популярна практика, когда две компании берут в работу параллельно и смотрят на полученные рекомендации.

 

Вячеслав Васин, руководитель центра компетенции по анализу защищённости, «Лаборатория Касперского»

 

Михаил Сидорук дал совет для начинающих директоров по информационной безопасности (Chief Information Security Officer, CISO) выбирать для первого пентеста представителя из топ-5 игроков на рынке. По стоимости работ это будет приемлемо, можно увидеть, что такое качество, и от этого двигаться дальше. Можно спрашивать у коллег из других компаний, общаться на форумах. Приходя в компанию за услугой, стоит предупредить, что это в первый раз.

Какие ошибки заказчики совершают при выборе подрядчика?

Василий Кравец назвал отсутствие цели — не знают, для чего заказывают, в итоге выбирают не того, кого нужно. Частая и не самая разумная стратегия — выбирать самого дешёвого. Многие для подтверждения опыта просят сертификаты, но разбираться в них — это отдельное искусство.

Анатолий Песковский считает, что наличие сертификатов и опубликованных маркетинговых статей вряд ли является показателем качества подрядчика. Нужно определить для себя подходящий вариант: понять, какой есть на это бюджет, запросить коммерческие предложения, в зависимости от возможностей выбрать компанию из топ-5, топ-10 или топ-20. Дальше встретиться и поговорить, определить цели, посмотреть, кто предложит более интересный вариант тестирования, проведёт проверку от начала до конца в комфортных условиях и приведёт к нужному результату.

Евгений Янов добавил, что часто выбирают самое дешёвое, ведь мнение закупщика первостепенно, это проблема внутри процессов. В крупной компании должны быть определённые коэффициенты и баллы, чтобы выбрать подрядчика. Можно ориентироваться на публичные отзывы разных вендоров, смотреть аналитические отчёты.

Иван Булавин заметил, что заказчики часто не различают форматы работ, например, в чём разница между пентестом и анализом защищённости, какие результаты получает от них заказчик. ИБ развивается быстро, сейчас появилось больше терминов, и люди, которые должны пользоваться услугами, ничего не понимают в этом.

 

Иван Булавин, директор по продуктам платформы Standoff 365, Positive Technologies

 

Дмитрий Зубарев уверен, что одна из главных проблем — когда усилия идут в никуда. Заказчик выбирает комплексную услугу, где много требований, и он не до конца понимает, все ли они для него актуальны. Непонятно, зачем это делать и куда приложить полученные результаты.

Как объяснить бизнесу необходимость Offensive Security

Вячеслав Васин считает, что критически важно, чтобы пентестеры умели объяснять результаты проверок на языке бизнес-рисков. Эту задачу может выполнять либо сама команда специалистов по безопасности, либо выделенная группа аналитиков. Их ключевая работа — не просто перечислить уязвимости, а систематизировать их, изучить тренды и спрогнозировать возможные последствия для конкретной компании. В отчёте необходимо показать, каким именно бизнес-процессам это может навредить, используя для наглядности реальные примеры и акцентируя внимание на самом главном.

Дмитрий Зубарев добавил, что у любого отчёта есть несколько уровней читателя. Executive summary — это то, что должно быть понятно всем, там нужно писать информацию, понятную бизнесу. Нужно пройти цепочку: у нас есть уязвимость — есть компонент инфраструктуры, в котором она находится — этот компонент служит для определённого бизнес-процесса. Должна быть понятна связь уязвимости и компонента. Если объяснить эту цепочку, становится виден результат — возможный риск для бизнеса.

Как объяснить финансовые риски? Дмитрий Зубарев считает, что пентестеры не смогут этого объяснить. Нужно привлекать специалистов по рискам для получения точной оценки.

Евгений Янов добавил, что для количественной оценки рисков широко применяется международный опыт страхования киберрисков. Например, методологии аналитической компании Gartner используют более половины страховщиков для расчёта потенциального ущерба. При этом он подчёркивает: внешней оценки недостаточно — критически важно внутреннее понимание бизнес-последствий инцидента. Только сочетание этих подходов позволяет перевести угрозы в конкретные финансовые показатели и построить корректную количественную модель рисков.

Вадим Шелест считает, что для лучшего понимания заказчиков и исполнителей нужна общая терминология на русском языке, которой бы пользовались все компании для избежания недопониманий и исключения необходимости подстраивать свои виды тестирования под имеющуюся терминологию.

 

Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ

 

Offensive Security — прямые расходы или инвестиция?

Глеб Чербов объяснил, что ценность пентеста проявляется не мгновенно, а в долгосрочной перспективе. Его главная задача — не просто выявить уязвимости, а предоставить обоснование для дальнейших действий и чёткий план по усилению безопасности. Основная польза заключается в том, что компания начинает осознавать свои риски и получает возможность системно их устранять, предотвращая появление подобных проблем в будущем. Таким образом, хотя на начальном этапе это затраты, в стратегическом плане пентест становится инвестицией в устойчивость компании.

Михаил Сидорук подчеркнул, что эти работы станут прямыми затратами, если с ними ничего не делать дальше. С финансовой стороны вопроса это не инвестиции. Инвестировать можно в средства защиты информации (СЗИ), команду, построение процессов. А Offensive Security — это способ проверить корректность работы системы. Это чекап — подтверждение того, что процессы есть, люди работают, системы защиты поставлены и выполняют свои функции.

 

Михаил Сидорук, руководитель управления анализа защищённости, BI.ZONE

 

Вячеслав Васин считает, что в терминах инвестиций это просто накладные расходы — небольшой инструмент для достижения определённых целей и задач. Если результаты никак не применяются, это убытки. В долгосрочной перспективе это можно назвать инвестицией.

Анатолий Песковский предупредил, что если отчёт длительное время не будет использоваться и внутренние процессы не будут запущены, чтобы устранить найденные уязвимости, — это точно расходная часть. Если уязвимости не привели к большим финансовым потерям, можно считать проверку инвестицией в защиту. Без этого нельзя — если не проводить пентесты, то критическая уязвимость может решить судьбу компании.

Евгений Янов добавил, что расходы в случае инцидента кратно превышают инвестиции в ИБ. Если взять ситуацию, когда отчёт используется по назначению, это становится ближе к инвестициям.

Дмитрий Зубарев считает, что это расходы, но будут они позитивными или негативными, зависит от условий: 1. Если эти работы соответствуют реальным задачам компании. 2. Если подрядчик выдаёт качественный результат. 3. Если компания правильно с ним работает. При соблюдении этих условий будет положительный результат, тогда затраты на Offensive Security можно назвать инвестициями.

Василий Кравец заметил, что если компания созрела до этих работ, можно их считать инвестицией. В остальных случаях это расходы.

 

Василий Кравец, начальник отдела исследований информационных технологий, «Перспективный мониторинг»

 

Иван Булавин назвал ИБ перманентными убытками, потому что сложно объяснить и доказать их эффективность. Работы в рамках Offensive Security могут стать инвестициями для ИБ, когда идёт вау-эффект и прямая демонстрация того, что будет, если проверки не делать.

Реальные кейсы

Михаил Сидорук: «Часто случается, когда во время начала тестирования за 1–2 дня понимаешь, что там уже кто-то есть, например, обнаруживается чей-то веб-шелл. В этом случае тестирование прекращается сразу и начинается Incident Response. Это вопрос добропорядочности — нельзя проводить тестирование, когда в инфраструктуре находится злоумышленник. Хорошо, если он ещё не успел закрепиться и развить атаку».

Евгений Янов: «Были случаи, когда находили чужие артефакты. В холдинге с несколькими компаниями внутри, одна часть согласилась на проведение пентеста, а другая часть отказалась. Проверенным компаниям был выдан отчёт с рекомендациями. Спустя 1,5 года этот же холдинг обратился за услугой по реагированию для той компании, которая ранее отказалась от проведения проверки. В итоге в рамках реагирования оказалось, что те проблемные места, которые были подсвечены в отчёте проверенных компаний, они закрыли, но через них в непроверенную компанию проникли злоумышленники. Если бы они поделились результатами внутри холдинга, проблемы можно было бы избежать».

 

Евгений Янов, руководитель департамента аудита и консалтинга, F6

 

Вячеслав Васин: «На практике был случай, когда одна тактика была подозрительно везде усилена. Параллельно нашли 11 подобных хостов, там были следы злоумышленников. Выяснилось, что они себя закрепляли и патчили, чтобы другой злоумышленник из инфраструктуры не выгнал. Сообщили заказчику, что пора бить тревогу и всё останавливать».

Глеб Чербов: «Нередкий случай, когда на внешнем периметре уже находятся следы компрометации, залиты чужие веб-шеллы. В таких случаях заказчик информируется, иногда они не обращают на это внимания, это вопрос коммуникации. Бывает, что находится угроза внутри инфраструктуры, которая уже эксплуатируется очень широко. Нужно останавливать всю работу, отзывать доступы и начинать действия по респонсу».

Прогнозы экспертов: какие практики Offensive Security станут стандартом в 2026?

Иван Булавин: «Стандартом станет Bug Bounty».

Дмитрий Зубарев: «Стандарты будут те же, будут использоваться все Offensive практики, такие как пентест, анализ защищённости, Red Team, Purple Team и Bug Bounty. Возможно, появятся гибридные комплексы, которые станут самостоятельными терминами».

Евгений Янов: «Практики останутся те же, но уровень зрелости компаний постоянно будет расти».

Анатолий Песковский: «В Bug Bounty появился новый ИИ-инструмент Xbow — он не идеален, есть свои плюсы и минусы, не все уязвимости он находит, но тенденция развития искусственного интеллекта (ИИ) в инструментах пентестера и средствах защиты прослеживается и будет расти».

Василий Кравец: «Есть тенденция к появлению новых методик и требований к разным Offensive-практикам, например, предъявление требований к подрядчикам или поставщикам. Регуляторика будет требовать проведения мероприятий в отношении этих людей».

Вячеслав Васин: «Есть медленные изменения, возможно, появятся новые требования».

Михаил Сидорук: «Будут внедряться практики ИИ в продукты CPT, EASM (сервис по отслеживанию уязвимостей, External Attack Surface Management), это поможет сделать рычаг, который их усилит и сделает доступнее для малого бизнеса. Пентестеры будут использовать ИИ и будут учиться руководить ИИ-помощниками».

Глеб Чербов: «Кардинальных изменений не будет в следующем году. Набор типовых услуг останется. Будет активное использование машинного обучения (machine learning, ML), ИИ, агентов».

Выводы

Обсуждение экспертов подтвердило, что переход от разовых проверок к комплексной стратегии Offensive Security является необходимым условием для построения устойчивой защиты. Ключевой вывод заключается в том, что настоящая ценность пентестов и Red Team-операций раскрывается только при их системной интеграции в бизнес-процессы и жизненный цикл разработки.

Эффективная стратегия требует взвешенного подхода к формату работ — оптимальным решением часто становится комбинация внутренней команды и внешней экспертизы. При этом критически важным остаётся не просто обнаружение уязвимостей, а создание замкнутого цикла, где результаты тестирования напрямую влияют на приоритеты безопасности и бюджет компании. Только при таком подходе затраты на Offensive Security превращаются в стратегические инвестиции, обеспечивающие долгосрочную устойчивость бизнеса к современным киберугрозам.

Что касается будущих тенденций, эксперты прогнозируют не столько появление принципиально новых услуг, сколько качественное развитие существующих практик под влиянием технологий. На первый план выйдет активная интеграция искусственного интеллекта в инструменты пентестеров и средства защиты, что повысит эффективность и доступность решений. Одновременно с этим такие форматы, как Bug Bounty и кибериспытания, будут становиться отраслевым стандартом, а регуляторные требования стимулируют внедрение Offensive Security в цепочки поставщиков. Это создаст предпосылки для формирования более зрелой и проактивной культуры безопасности на рынке в целом.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!