Звонок от CISO финтех-компании: «Мы вложили 80 миллионов в безопасность за два года - SIEM, EDR, SOC на аутсорсе. Ваш пентестер получил доменного админа за четыре часа. Объясните.» Объяснение уместилось в два слайда на postmortem-встрече. Первый: SIEM собирал логи с 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs. Второй: EDR стоял на рабочих станциях, но не развёрнут на серверах и контроллерах домена. Incident response playbook - Word-документ, который никто не открывал два года.
Это не аномалия. По данным Mandiant M-Trends 2025, 57% организаций узнают об инцидентах от внешних сторон, а не от собственного SOC. Медианное время нахождения злоумышленника в сети до обнаружения - 11 дней (исторический минимум), а по данным IBM X-Force, среднее время между публикацией CVE и её устранением - 29 месяцев. Проблема не в нехватке инструментов. Проблема - в отсутствии процессов, которые превращают инструменты в работающую защиту.
Что пентест показывает на каждом уровне зрелости ИБ организации
Русскоязычные источники описывают зрелость ИБ организации как линейную лестницу: покупаете антивирус - первый уровень, внедрили SIEM и EDR - второй, создали SOC с CISO - третий. На бумаге логично. На практике линейность разваливается, потому что уровень определяется не перечнем закупок, а тем, как закупленное работает под нагрузкой. Под реальной нагрузкой, а не на демо-стенде вендора.Вот как эти уровни выглядят изнутри, когда red team начинает операцию.
Уровень 1 - «Формальная безопасность». Антивирус, межсетевой экран, VPN - всё установлено. Initial access через Exploit Public-Facing Application (T1190, Initial Access) занимает один-два часа: внешние сервисы не патчены, asset inventory отсутствует как класс. Никто не знает, сколько серверов смотрят в интернет. CIS Control 1 - Inventory and Control of Enterprise Assets - не реализован даже на уровне IG1: нет реестра, нет автоматического обнаружения, нет ответственного. Дефолтные пароли на сетевом оборудовании - Brute Force (T1110, Credential Access) проходит за минуты. Логирование не настроено: детектировать нечего, даже если бы кто-то смотрел.
Что видит атакующий: открытая дверь. Что видит CISO: «у нас есть базовая защита».
Уровень 2 - «Инструменты без процессов». SIEM развёрнут, EDR установлен на части хостов, команда ИБ выделена. Это уровень, на котором живёт большинство компаний с бюджетом на безопасность. И он же - самый коварный.
Инструменты работают в дефолтной конфигурации. Правила корреляции SIEM - вендорские, из коробки: генерируют шум, аналитики отключают половину. EDR детектирует сигнатуры, но behavioral detection не настроен. SOC реагирует на алерты, но без playbook - каждый инцидент обрабатывается с нуля.
Атакующий на этом уровне использует Valid Accounts (T1078, Initial Access / Persistence / Privilege Escalation). По данным CrowdStrike Global Threat Report 2025, 75% вторжений в 2024 году происходили с использованием действительных учётных данных. IBM X-Force фиксирует рост таких атак на 71% год к году. На втором уровне эти атаки проходят незамеченными: легитимный вход от легитимного пользователя - не аномалия для дефолтного SIEM.
Типичная цепочка: учётные данные через Unsecured Credentials (T1552, Credential Access) - пароли в конфигурационных файлах, Git-репозиториях, shared drives. Затем OS Credential Dumping (T1003, Credential Access) для повышения привилегий. SOC не видит ничего, пока атакующий не запустит откровенно вредоносный бинарник - и то если EDR развёрнут на целевом хосте.
Уровень 3 - «Процессы работают». SIEM настроен на корреляцию событий по TTP-матрице. EDR покрывает все критичные активы, включая серверы. Baseline сетевого трафика построен (NIST CSF DE.AE-01), аномалии генерируют алерт. Playbook incident response протестирован в tabletop exercises. Asset inventory актуален, CIS Controls реализованы на уровне IG2.
Пентест на третьем уровне занимает не четыре часа, а несколько дней. Атакующий вынужден действовать осторожно: Network Service Discovery (T1046, Discovery) и Active Scanning (T1595, Reconnaissance) генерируют алерты. Попытка Impair Defenses (T1562, Defense Evasion) - отключить EDR-агент - детектируется и эскалируется.
Разница между вторым и третьим уровнем - не в бюджете. Часто бюджет одинаковый. Разница - в процессах, которые превращают данные в решения. Именно здесь начинается реальное взаимодействие red team и blue team: findings пентеста становятся входными данными для настройки detection, а не пылятся в PDF-отчёте.
По модели offensive security maturity (описанной, в частности, PlexTrac), организации проходят путь от vulnerability scanning -> penetration testing -> red teaming -> adversary emulation -> adversary simulation. Каждая ступень требует не столько нового инструмента, сколько нового процесса обработки результатов. Пентест без remediation tracking - тот же vulnerability scan, только дороже.
Карго-культ в ИБ: когда SIEM и EDR - дорогие декорации
Карго-культ в ИБ - воспроизведение внешних атрибутов зрелого SOC без понимания того, что делает их рабочими. Куплен SIEM - значит, мониторинг есть. Есть EDR - endpoint protection работает. Пентест раз в год - уязвимости закрываются. Три паттерна, которые встречаются стабильно:Паттерн 1: SIEM как хранилище логов. Логи собираются, корреляция отсутствует. Вендор поставил дефолтные правила при внедрении - аналитики их отключили из-за шума. Результат: SIEM стоит миллионы рублей в год (лицензия, хранение, инфраструктура) и не детектирует ничего, кроме сбоев оборудования.
Конкретный пример: SIEM принимал 15 000 EPS, но ни одно правило не было привязано к MITRE ATT&CK. Когда red team провёл lateral movement через Valid Accounts (T1078), система зафиксировала сотни событий аутентификации. Ноль алертов.
Паттерн 2: EDR без coverage. EDR развёрнут на рабочих станциях, но не на серверах, контроллерах домена и jump-хостах. Атакующий получает initial access через рабочую станцию, перемещается на сервер - и выходит из зоны видимости. По данным Verizon DBIR 2025, 38% утечек данных связаны с кражей учётных данных - stolen credentials используются для перемещения именно в серверный сегмент, где EDR нет. Слепая зона, которую можно закрыть без дополнительных лицензий - если организация вообще знает, какие хосты критичны.
Паттерн 3: Пентест ради комплаенса. Пентест проводится ежегодно, отчёт сдаётся руководству, findings закрываются формально. Критическая уязвимость превращается в тикет, который висит месяцами. К следующему пентесту - та же уязвимость плюс три новых. Формальная безопасность удовлетворена, реальная защита не сдвинулась.
Корневая причина всех трёх паттернов одна: бюджет распределяется на покупку инструментов, а не на построение системы защиты информации как набора работающих процессов. Лицензия на SIEM - строка в бюджете. Настройка 200 кастомных правил корреляции - месяцы работы аналитиков. EDR deployment на 95%+ инфраструктуры - кварталы координации с IT. Пентест с remediation tracking и SLA - процесс, а не разовый проект. И вот на процессы денег вечно «нет».
Оценка зрелости SOC: чеклист самодиагностики с правилами корреляции
Методик оценки зрелости процессов кибербезопасности десятки: NIST CSF с функциями Identify / Protect / Detect / Respond / Recover, CIS Controls с Implementation Groups (IG1–IG3), OWASP SAMM для software security posture, CMMC для оборонной промышленности. Выбор фреймворка зависит от отрасли. Но независимо от фреймворка, чеклист ниже можно пройти за час и получить реалистичную картину.
Чеклист: 12 вопросов для определения уровня зрелости
Подсчёт:
| Кол-во «Да» | Уровень | Приоритет |
|---|---|---|
| 0–3 | 1 - формальная безопасность | Asset inventory, EDR coverage, базовые правила корреляции |
| 4–7 | 2 - инструменты без процессов | Кастомные detection rules, playbook, VM с SLA |
| 8–10 | 2+ - зрелые процессы с пробелами | Coverage gaps, insider threat detection, threat hunting |
| 11–12 | 3 - процессы работают | Adversary emulation, purple teaming, continuous improvement |
Честно ответьте на эти 12 вопросов. Если набрали меньше 8 - дальнейшее чтение будет болезненным, но полезным.
Шесть корреляционных правил, без которых SOC слеп
Привожу логику, а не синтаксис конкретного SIEM - адаптируйте под свой стек (MaxPatrol SIEM, KUMA, Elastic Security, Splunk, RuSIEM):- Brute Force (T1110): >10 неудачных попыток аутентификации за 5 минут с одного IP/хоста. Порог корректируется по baseline.
- Valid Accounts с аномального источника (T1078): аутентификация привилегированной УЗ с хоста, не входящего в baseline источников входа. Требует: список «нормальных» источников для каждой admin-УЗ.
- OS Credential Dumping (T1003): создание процесса с именами
mimikatz,procdump,comsvcs.dllили обращение кlsass.exeизвне штатных процессов. - Impair Defenses (T1562): остановка сервиса EDR/AV или изменение ключей реестра, управляющих агентом.
- Network Service Discovery (T1046): >50 уникальных портов на >10 хостов за 10 минут от одного источника.
- Unsecured Credentials (T1552): сервисный аккаунт обращается к файлам
.config,.env,*.key,web.configвне штатного workflow.
Оптимизация ИБ бюджета: приоритеты по результатам red team
Оптимизация бюджета на ИБ начинается с вопроса: какие TTPs наиболее вероятны для нашей инфраструктуры и какие из них мы не детектируем? По данным Mandiant M-Trends 2025, exploits - наиболее распространённый вектор initial access (38% случаев). При этом, согласно CrowdStrike, 75% вторжений на каком-то этапе kill chain задействуют действительные учётные данные.Матрица приоритетов, построенная по результатам десятков red team-операций:
| Приоритет | Мера | Стоимость | Эффект на detection |
|---|---|---|---|
| 1 | Asset inventory с автообновлением | Низкая (tooling + процесс) | Без него EDR и SIEM слепы к unknown assets |
| 2 | EDR coverage 95%+ включая серверы | Средняя (лицензии + deployment) | Закрывает blind spots серверного сегмента |
| 3 | Кастомные правила SIEM под топ-10 TTPs | Низкая (человеко-часы аналитиков) | Превращает SIEM из хранилища в инструмент detection |
| 4 | MFA на все привилегированные УЗ | Низкая–средняя | Блокирует атаки с credentials (T1078, T1110) |
| 5 | Vulnerability management с SLA | Средняя (процесс + оркестрация) | Сокращает окно от 29 месяцев до управляемого интервала |
| 6 | Playbook IR + tabletop exercises | Низкая (человеко-часы) | Сокращает dwell time: от дней к часам |
Позиции 1, 3, 4 и 6 - процессы, а не продукты. Их стоимость - рабочее время инженеров, а не лицензионные платежи. Компания на втором уровне зрелости может перейти на третий без дополнительных закупок, перераспределив ресурсы с новых инструментов на настройку имеющихся.
Финансовый контекст: с учётом оборотных штрафов за утечки персональных данных (до 3% годовой выручки по российскому законодательству), стоимость бездействия - конкретные суммы, а не абстрактный риск. Для компании с выручкой 10 млрд рублей максимальный штраф может составить 300 млн - бюджет SOC на несколько лет вперёд.
Insider threat и скомпрометированные легитимные хосты
Большинство security maturity model игнорирует сценарий, где скомпрометированный подрядчик или инженер действует от легитимной учётной записи с легитимного хоста в рабочее время. Valid Accounts (T1078) здесь - не внешний атакующий, а insider с полным набором разрешённых IOC. И это, пожалуй, самый неприятный сценарий для SOC.Detection строится не на сигнатурах, а на поведенческом анализе: аномальные объёмы передаваемых данных, доступ к ресурсам вне рабочего профиля, использование административных инструментов в нетипичное время. Это требует UEBA-компонента в SIEM (или выделенного решения) и, главное, настроенного baseline. Без baseline нет аномалий. Без аномалий insider threat остаётся невидимым до момента, когда данные уже на внешнем ресурсе.
Hardening учётных записей (CIS Control 5 - Account Management) и разграничение привилегий - мера, которая стоит ноль рублей на лицензии и закрывает один из самых опасных векторов. Но она требует процесса: регулярный аудит неиспользуемых УЗ, принцип least privilege для сервисных аккаунтов, отдельные admin-УЗ для привилегированных действий (CIS Control 5.4). Всё это - зрелость процессов информационной безопасности, а не зрелость закупочной ведомости.
За три года участия в проектах, где бюджет на безопасность превышал 50 миллионов рублей, я вижу одну закономерность: в каждом втором случае red team получал доменного админа быстрее, чем SOC генерировал первый алерт. Не потому что инструменты плохие - а потому что тюнинг и deployment считались «операционкой», на которую бюджет не выделяется.
Индустрия продаёт зрелость как лестницу продуктов: купите NGFW - первый уровень, добавьте EDR - второй, внедрите SOAR - третий. Удобная модель для вендоров, но к реальной защите она имеет косвенное отношение. Зрелость - это способность организации обнаружить атакующего, который уже внутри, использует легитимные учётные данные и не запускает ни одного вредоносного бинарника.
Те компании, где пентест занимает дни, а не часы, отличаются не бюджетом. Они отличаются тем, что CISO может ответить на три вопроса: какие TTPs наиболее вероятны, какие из них мы детектируем, какие - нет. Если ответа нет, никакой бюджет не спасёт. Если ответ есть - бюджет можно урезать вдвое, и защита станет сильнее. По разбору подобных gap-анализов SOC-процессов и maturity-чеклистов с привязкой к реальным кейсам - на yg140.servegame.com идёт обсуждение, где коллеги делятся результатами внутренних аудитов и адаптацией detection-правил.
Последнее редактирование модератором:
