Red Team vs Penetration Testing vs Vulnerability Assessment: разница
Три разных подхода, которые часто путают. Vulnerability Assessment (VA) — широкая идентификация уязвимостей без эксплуатации: список с CVSS. Penetration Testing — эксплуатация уязвимостей в согласованном scope для доказательства реального риска. Red Team — полная эмуляция атакующего с lateral movement, persistence и проверкой способности Blue Team детектировать и реагировать.
VA работает непрерывно или ежеквартально, стоит от 50 000 до 500 000 ₽. Пентест — 1-2 раза в год, от 200 000 до 2 000 000 ₽ (по рыночным оценкам в РФ). Red Team — раз в год для зрелых компаний, 2–12 миллионов ₽ за проект длительностью 2–3 месяца.
В статье: чёткие определения по NIST SP 800-115 / PTES / OSSTMM, сравнительные таблицы, разбор Purple Team и BAS, специализированных программ (TIBER-EU, CBEST, iCAST, DORA TLPT), регуляторов (851-П, 757-П, PCI DSS, NIS2), инструментов и сертификаций (OSCP, CRTO, OSCE3), compliance-driven vs threat-driven подход.
- Главная сравнительная таблица
- Vulnerability Assessment: что это и когда нужен
- Penetration Testing: что это и как устроен
- Red Team: полная эмуляция атакующего
- Purple Team: совместная работа Red и Blue
- Специализированные виды Red Team
- BAS — Breach and Attack Simulation
- Цены в России в 2026 году
- Требования регуляторов
- Инструменты по типам тестирования
- Сертификации для специалистов
- Compliance-driven vs Threat-driven
- Распространённые мифы
- Как выбрать нужный подход
- FAQ
Главная сравнительная таблица
Запомнить одной таблицей — VA широко, но неглубоко; пентест глубоко, но узко; Red Team — весь периметр плюс люди плюс физика.
| Параметр | Vulnerability Assessment | Penetration Testing | Red Team |
|---|---|---|---|
| Scope | Широкий: вся инфраструктура | Ограниченный: конкретные системы | Любой: техника + люди + физика |
| Глубина | Поверхностная (идентификация) | Глубокая (эксплуатация) | Максимальная (цепочка атаки целиком) |
| Цель | Найти как можно больше уязвимостей | Доказать эксплуатируемость, показать путь | Достичь бизнес-цели незамеченным, проверить Blue Team |
| Kill chain | Нет | Частично (внутри scope) | Полностью (persistence, lateral, exfil) |
| Blue Team осведомлена | Да | Обычно да | Нет (скрытая операция) |
| Длительность | Часы–дни | 1–3 недели | 4 недели – 3 месяца |
| Частота | Непрерывно / ежеквартально | 1–2 раза в год | 1 раз в год / 1 раз в 3 года |
| Отчёт | Список уязвимостей + CVSS | Exploit chain + доказательства | Narrative атаки + gap Blue Team + матрица TTPs |
| Цена в РФ (2026, ориентир) | 50 000 – 500 000 ₽ | 200 000 – 2 000 000 ₽ | 2 000 000 – 12 000 000+ ₽ |
Vulnerability Assessment: что это и когда нужен
Vulnerability Assessment
Что: автоматизированное сканирование инфраструктуры на известные уязвимости (CVE), конфигурационные ошибки, устаревшее ПО. Результат — список с приоритизацией по CVSS и рекомендациями.
Типовой процесс
- Discovery — инвентаризация активов (Nmap, Nessus, Qualys)
- Scanning — активное сканирование каждого актива на известные CVE
- Analysis — фильтрация ложных срабатываний, приоритизация
- Reporting — отчёт с CVSS-скорами и рекомендациями
Когда нужен
- Compliance: PCI DSS требование 11.2 — ежеквартальные ASV-сканирования, внутренние и внешние
- Непрерывный мониторинг: зрелые команды используют VA как часть continuous monitoring
- Предварительный этап перед пентестом — определить поверхность атаки
- После patch Tuesday — проверить, что обновления применены
Ограничения
- Много ложноположительных срабатываний (до 20–40% в первый прогон на новой инфраструктуре)
- Не проверяет эксплуатируемость — CVSS-скор не равен реальному риску
- Не видит уязвимости бизнес-логики
- Не находит unknown-unknowns
Penetration Testing: что это и как устроен
Penetration Testing
Что: активная проверка безопасности в согласованном scope. Специалист не только находит уязвимости, но и эксплуатирует их, доказывая реальный риск. Результат — exploit chain с шагами, которые привели к компрометации, и рекомендации по устранению.
Методология (PTES — 7 фаз)
PTES (Penetration Testing Execution Standard) — индустриальный стандарт с 2009 года:
- Pre-Engagement — согласование scope, правил, NDA, rules of engagement
- Intelligence Gathering — разведка, OSINT, fingerprint
- Threat Modeling — моделирование актуальных угроз для бизнеса
- Vulnerability Analysis — идентификация потенциальных входов
- Exploitation — активная попытка компрометации
- Post-Exploitation — эскалация привилегий, lateral movement в согласованных пределах
- Reporting — детальный отчёт с доказательствами и рекомендациями
Виды пентеста
- Black-box — пентестер не знает о цели ничего (кроме домена/IP). Имитация внешнего атакующего
- Gray-box — пентестер получает базовые учётные данные. Имитация злонамеренного пользователя или подрядчика
- White-box — полный доступ к коду, архитектуре, документации. Максимальная глубина, минимум времени
Типы по предмету
- Network Pentest — внешний/внутренний периметр, сетевые сервисы
- Web Application Pentest — веб-приложения по OWASP WSTG
- Mobile Pentest — iOS/Android приложения по OWASP MASTG
- API Pentest — REST/GraphQL/gRPC по OWASP API Security Top 10
- Cloud Pentest — AWS/Azure/GCP конфигурации, IAM, Kubernetes
- IoT/OT Pentest — промышленные системы, embedded-устройства
Подробнее об AI-модификации — AI-assisted пентест: что это и как работает.
Red Team: полная эмуляция атакующего
Red Team Engagement
Что: скрытая операция, имитирующая реальную APT-атаку от начала до бизнес-ущерба. Blue Team не уведомлена (или уведомлена только часть руководства). Цель — не найти уязвимости, а проверить, способна ли организация детектировать и отреагировать на атаку до того, как она достигнет критичного актива.
Что отличает Red Team от пентеста
- Цель — бизнес-результат, не технический. «Получить доступ к базе клиентов», «отправить платёж от CFO», «выключить SCADA-систему» — а не «найти SQL-инъекцию»
- Полный kill chain. От разведки до exfiltration включительно — как реальный APT
- Скрытность. Обход EDR, AV, SIEM. Защита от детекта — половина работы
- Человеческий фактор. Фишинг, претекстовые звонки, физическое проникновение
- Adversary emulation. Сценарий строится на TTP конкретного актора (APT28, Lazarus, Turla) через MITRE ATT&CK
Типовые фазы Red Team
- Threat Intelligence (2–4 недели) — разведка на конкретную организацию: кто может атаковать, как, почему
- Planning — выбор сценария, TTP, целей (crown jewels)
- Initial Access — фишинг, watering hole, supply chain, физическое проникновение
- Foothold & Persistence — закрепление на скомпрометированной машине
- Privilege Escalation — получение прав администратора
- Lateral Movement — продвижение к целевой системе
- Objective — достижение заявленной бизнес-цели
- Exfiltration (если в scope) — вывод данных незаметно для мониторинга
- Reporting & Debrief — narrative атаки, матрица TTPs, детекторы, которые сработали и не сработали, конкретные рекомендации для Blue Team
Purple Team: совместная работа Red и Blue
Purple Team — не команда, а формат работы. Red Team запускает конкретные TTP, Blue Team в реальном времени смотрит, что сработало в SIEM/EDR, и сразу дорабатывает правила детектирования. Главная цель — не «победа» одной стороны, а улучшение детекций.
Отличия от классического Red Team
- Открытый формат: Blue Team знает, что и когда тестируется
- Итеративность: один TTP → проверка детекта → донастройка SIEM → повтор
- Сроки: недели, а не месяцы
- Результат: улучшенные правила детектирования + натренированный SOC
SANS запустил отдельную программу Purple Team Operations, описывая это как «слияние наступательных и оборонительных концепций». Red Canary через свой Threat Detection Report ежегодно публикует TOP-техник, которые рекомендуются для Purple Team упражнений.
Специализированные виды Red Team
Assumed Breach
Сценарий, при котором атакующий получает начальный доступ «по условию задачи» — симулируется уже скомпрометированный хост или учётная запись. Тест начинается с более позднего этапа kill chain и фокусируется на обнаружении inside-атак. Экономит время и деньги: не тратятся недели на первоначальный прорыв.
Adversary Emulation
Воспроизведение TTP конкретного известного актора (APT28, Lazarus, FIN7) на основе публичных отчётов и MITRE ATT&CK. Цель — проверить, способна ли организация детектировать именно эту группу. MITRE публикует Adversary Emulation Plans (AEP) для многих актёров в открытом доступе.
TIBER-EU
Threat Intelligence-Based Ethical Red Teaming — официальный фреймворк Европейского центрального банка, запущенный в мае 2018. Обновлён в 2025 году под требования DORA. Три фазы:
- Threat Intelligence — bespoke-разведка на конкретную организацию
- Red Team Testing — на продуктивных системах critical functions
- Closure — remediation plan, матрица зрелости, отчёт для регулятора
Итог — не «провал/успех», а матрица зрелости по доменам ATT&CK.
CBEST (Великобритания)
Создан Банком Англии, поддерживается CREST. Длительность типового проекта — 9–12 месяцев: Initiation 6 недель → Threat Intelligence 10 недель → Penetration Testing 14 недель → Closure 4 недели. Обязателен для системно значимых финансовых организаций в UK.
iCAST (Гонконг)
HKMA (Hong Kong Monetary Authority), часть Cyber Fortification Initiative. Intelligence-led, фокус именно на Red Teaming.
DORA TLPT
EU DORA (регламент, действует с 17 января 2025) в статье 26 требует Threat-Led Penetration Testing минимум раз в 3 года для критических финансовых организаций. TIBER-EU — официальный метод выполнения TLPT.
BAS — Breach and Attack Simulation
| Параметр | BAS | Red Team |
|---|---|---|
| Автоматизация | Полная | Ручная (с инструментами) |
| Частота | Непрерывно / по расписанию | 1 раз в год |
| Stealth / эвазия | Нет (безопасный sandbox) | Да (реальный обход EDR/AV) |
| Человеческий фактор | Нет | Да |
| Цель | Проверка контролей, coverage ATT&CK | Проверка всей цепочки обнаружения и реагирования |
| Стоимость | Подписка $50–300k/год | 2–12M ₽ за проект |
Ключевые продукты
- Cymulate — широкая библиотека сценариев, SaaS, prevention-oriented
- AttackIQ — ATT&CK coverage measurement
- SafeBreach — один из пионеров BAS, крупнейшая библиотека playbooks
Важно: BAS не заменяет Red Team — он проверяет, что ваши детекторы знают о конкретных TTP. Но он не делает реальный обход EDR, не включает человеческий фактор, не тестирует бизнес-цели. BAS — это «конвейер проверок», Red Team — «реальная атака».
Цены в России в 2026 году
| Услуга | Диапазон | Длительность | Примечание |
|---|---|---|---|
| VA (автоматическое сканирование малой инфраструктуры) | 50 000 – 150 000 ₽ | Часы – дни | Часто включено в подписку Nessus/Qualys |
| VA (ручной анализ крупной сети) | 300 000 – 500 000 ₽ | 1–2 недели | С фильтрацией false-positive |
| Pentest (экспресс, периметр) | 200 000 – 350 000 ₽ | 2 недели | RTM Group — от 200 000 ₽ |
| Pentest (web-приложение средней сложности) | 350 000 – 700 000 ₽ | 2–3 недели | По OWASP WSTG |
| Pentest (комплексный корпоративный) | 1 000 000 – 2 000 000 ₽ | 3–6 недель | Внешний + внутренний + web + SE |
| Red Team (средний бизнес) | 2 000 000 – 5 000 000 ₽ | 6–10 недель | Classic adversary emulation |
| Red Team (крупный банк / TIBER-style) | 8 000 000 – 30 000 000 ₽ | 3–6 месяцев | С Threat Intelligence фазой |
Источники оценок: отчёты anti-malware.ru по рынку пентестинга и ценообразованию, публичные предложения RTM Group, материалы индустриальных конференций. Рынок классического + автоматизированного пентеста в РФ — оценка 5+ млрд ₽; рынок Red Team — 3–4 млрд ₽.
Требования регуляторов
Россия
- 152-ФЗ — не предписывает пентест напрямую, но требует «оценку эффективности мер защиты». Интерпретируется через методики ФСТЭК
- ГОСТ Р 57580.1-2017 / 57580.2 — требует тестирование защитных мер, периодичность по уровню защищённости. Оценка соответствия — раз в 2 года
- Положение ЦБ РФ 851-П (банки, с 29 марта 2025, заменило 683-П) — требует ежегодный пентест и анализ уязвимостей
- 757-П (НФО — страховые, брокеры, УК) — аналогичные требования
- ФСТЭК Методика оценки защищённости (2025) — подробная методология пентеста для аттестованных систем
Международные
- PCI DSS v4.0 Requirement 11:
- 11.2 — ежеквартальные внешние сканирования через ASV
- 11.3.1 — ежегодный внутренний и внешний пентест + после значимых изменений
- 11.4 — сегментация cardholder data environment (CDE) проверяется пентестом
- EU DORA (действует с 17 января 2025): статья 26 — TLPT минимум раз в 3 года для критических финансовых организаций. TIBER-EU — официальный метод
- NIS2 Directive (действует с октября 2024): Article 21(2)(f) требует оценку эффективности мер; ENISA Technical Implementation Guidance (июнь 2025) рекомендует пентест. Штрафы: до €10 млн или 2% глобального оборота
- ISO 27001:2022: Annex A 8.29 (Security Testing in Development), A.8.8 (Technical Vulnerability Management) — пентест не обязателен формально, но де-факто ожидается аудиторами
Инструменты по типам тестирования
| Категория | Инструменты |
|---|---|
| VA — сканеры | Nessus (Tenable) — отраслевой стандарт, 190k+ плагинов; Qualys VMDR — облачный, 100k+ CVE; OpenVAS (Greenbone) — open source; Rapid7 InsightVM — risk-based |
| Pentest — универсальные | Burp Suite Professional (web), Metasploit Framework, Nmap, Nikto |
| Pentest — специализация | SQLMap (SQL injection), FFUF (fuzzing), Hashcat (пароли), Impacket (AD), BloodHound (AD recon), Responder (LLMNR/NBT-NS) |
| Red Team — C2 Frameworks | Cobalt Strike ($5400/год, коммерческий), Sliver (open source, Bishop Fox), Mythic (open source), Havoc (open source), Brute Ratel C4 (коммерческий, OPSEC-focused) |
| Red Team — вспомогательные | SharpHound / BloodHound (AD), Rubeus (Kerberos), Mimikatz (credentials), CrackMapExec (lateral), Seatbelt (local enum) |
| BAS | Cymulate, AttackIQ, SafeBreach, Picus Security |
Подробнее о том, как ИИ-агенты помогают пентестеру — AI-Assisted Pentest: что это и как работает.
Сертификации для специалистов
| Сертификация | Кто выдаёт | Уровень / фокус |
|---|---|---|
| OSCP | OffSec | Индустриальный gold standard пентеста. Практический экзамен 24 часа. Упоминается почти в каждой вакансии |
| OSWA / OSWE | OffSec | Специализация на web-приложениях (assessment / expert) |
| OSEP | OffSec | Evasion, lateral movement, advanced Red Team |
| OSCE3 | OffSec | Три курса в одном: OSED + OSWE + OSEP. Признаётся CREST |
| CEH | EC-Council | Более теоретический, ценится в compliance-ориентированных организациях |
| CompTIA PenTest+ | CompTIA | Vendor-neutral, compliance-friendly. Партнёр SecAI+ |
| CRTO | Zero-Point Security | Red Team Ops: Active Directory + Cobalt Strike. Практический экзамен 4 дня |
| CRTP | Altered Security | Certified Red Team Professional. Enterprise AD, PowerShell, BloodHound |
| CREST CRT / CCT | CREST (UK) | Требуется для участия в TIBER-EU / CBEST проектах |
Compliance-driven vs Threat-driven
Ключевое разделение пентестов последних лет. Определяет не «что ищем», а «почему ищем».
| Параметр | Compliance-driven | Threat-driven (Risk-based) |
|---|---|---|
| Цель | Соответствие требованиям аудита | Защита от реальных актуальных атак |
| Scope | Узкий, формально определён регулятором | Определяется актуальным threat landscape |
| Методология | Предсказуемая, повторяется год к году | Меняется под текущий threat profile |
| Результаты | Похожие, новых находок мало | Каждый раз новые, адресные |
| Рекомендации | «Закрыть пункты требований» | «Закрыть пути для актуальных атакующих» |
| Примеры | PCI DSS audit, ISO 27001 certification | TIBER-EU, DORA TLPT, CBEST, iCAST |
Распространённые мифы
Миф 1: «Сканер = пентест»
Самая частая ошибка. Сканер автоматически идентифицирует известные CVE по сигнатурам и выдаёт список с CVSS. Пентест — ручная или полуавтоматическая эксплуатация, доказывающая реальный путь к компрометации. PCI DSS прямо разграничивает: req. 11.2 — scan, req. 11.3 — pentest. Сканер скажет «у вас 47 уязвимостей level medium». Пентестер покажет: «через цепочку из трёх medium-уязвимостей атакующий за 20 минут получает данные 2 млн клиентов».
Миф 2: «Пентест = Red Team»
Пентест прозрачен для Blue Team, ограничен scope и временем, цель — документировать уязвимости. Red Team скрытен, scope максимально широк (или намеренно не ограничен), цель — достичь заявленной crown jewel. Путать их — значит либо переплатить за ненужную работу, либо получить Red Team-отчёт там, где нужен был пентест.
Миф 3: «Найдите нам всё»
Запрос без приоритизации scope ведёт к поверхностному покрытию. PTES и TIBER-EU подчёркивают важность Pre-Engagement: согласование целей, crown jewels, правил поведения. Без этого вы получите «средний» результат, не адресующий главные риски.
Миф 4: «Один раз в год — достаточно»
По данным Positive Technologies, средний цикл от обнаружения уязвимости до эксплуатации злоумышленником за последние годы сократился до единиц дней. Проверка раз в 365 дней при таком темпе теряет смысл как первая линия защиты. Современный подход: непрерывный VA + AI-assisted пентест ежеквартально + Red Team раз в год.
Миф 5: «Red Team = успешный взлом»
Цель Red Team — не взломать вас. Цель — проверить, как быстро Blue Team обнаружила атаку и как эффективно отреагировала. «Успешный» Red Team может закончиться тем, что защита сработала на третьем шаге и Red Team не прошёл дальше — и это отличный результат.
Как выбрать нужный подход
Вам нужен VA, если
- Нужно непрерывное покрытие большой инфраструктуры
- Требование аудита (PCI DSS 11.2 — ежеквартальные ASV-сканирования)
- Есть команда, готовая работать с long-tail уязвимостями после сканирования
- Нужна базовая гигиена: обновления, конфигурации, устаревший софт
Вам нужен Pentest, если
- Нужно доказать эксплуатируемость найденного
- Требования регуляторов (851-П, 757-П, PCI DSS 11.3, ГОСТ 57580)
- Релиз нового продукта, крупный рефакторинг, миграция
- Подключение критичных партнёров, подрядчиков
- Ограниченный бюджет, но нужен конкретный технический аудит
Вам нужен Red Team, если
- Есть работающий SOC, который хотите проверить на реальной атаке
- Нужна оценка способности Blue Team реагировать, а не список уязвимостей
- Вы в критичной индустрии (банк, крупный ритейл, критическая инфраструктура)
- Регулятор требует TIBER-EU / DORA TLPT / CBEST
- Уже прошли пентесты и нужен следующий уровень зрелости
Вам нужен Purple Team, если
- Хотите быстро улучшить конкретные детекции SIEM/EDR
- SOC новый или недавно реорганизованный — нужна тренировка
- Red Team показал gaps, и теперь их нужно закрыть коллаборативно
Вам нужен BAS, если
- Хотите непрерывно мерить покрытие MITRE ATT&CK своими детекторами
- Есть зрелый SOC с SIEM/EDR и хочется автоматизировать валидацию
- Нужна регулярная проверка после каждого изменения правил SIEM
Связанные статьи: AI-assisted пентест — современная эволюция пентеста, MITRE ATLAS — матрица для Red Team AI-систем, CompTIA SecAI+ — сертификация по безопасности ИИ.
FAQ
Чем Red Team отличается от Penetration Testing?
Пентест проверяет конкретные уязвимости в согласованном scope: Blue Team знает, сроки 1–3 недели, цель — документировать эксплуатируемость. Red Team проверяет способность организации детектировать и реагировать на реальную атаку: Blue Team не уведомлена, сценарий моделирует конкретного актора (adversary emulation), 4 недели – 3 месяца, цель — бизнес-результат (crown jewel).
Что такое Vulnerability Assessment?
Идентификация и оценка уязвимостей без попыток эксплуатации. По NIST SP 800-115: широкий охват, поверхностная глубина. Результат — список с CVSS и рекомендациями. Проводится непрерывно или ежеквартально. Не заменяет пентест: VA не доказывает эксплуатируемость и не находит уязвимости бизнес-логики.
Сколько стоит Red Team в России в 2026?
По открытым оценкам: от 2 до 12 миллионов рублей за проект 2–3 месяца. Для крупных банков с широким scope — до 30 миллионов рублей и выше. Точных прайсов BI.ZONE, Positive Technologies, Ростелеком-Solar публично не публикуют — цена формируется под каждый проект.
Что такое Purple Team?
Формат работы (не команда), при котором Red Team и Blue Team работают совместно в реальном времени для улучшения детекций. Red запускает TTP, Blue смотрит, что сработало, сразу дорабатывает правила SIEM/EDR. SANS описывает как слияние наступательных и оборонительных концепций.
Что такое TIBER-EU и DORA TLPT?
TIBER-EU — фреймворк Европейского центрального банка для Threat Intelligence-Based Ethical Red Teaming (запущен в мае 2018, обновлён в 2025). Три фазы: Threat Intelligence → Red Team Testing на продуктивных системах → Closure. EU DORA (с 17 января 2025) требует TLPT минимум раз в 3 года для критических финансовых организаций. TIBER-EU — официальный метод выполнения TLPT.
Что такое BAS?
Breach and Attack Simulation — автоматизированное непрерывное тестирование контролей против библиотеки TTPs из MITRE ATT&CK. Проверяет, видят ли SIEM/EDR конкретные техники. Не заменяет Red Team: не делает реальный обход EDR, нет человеческого фактора, работает в sandbox. Ключевые продукты: Cymulate, AttackIQ, SafeBreach.
Какие регуляторные требования по пентесту в России?
851-П (банки, с 29.03.2025, заменило 683-П) и 757-П (НФО) требуют ежегодного пентеста и анализа уязвимостей. ГОСТ Р 57580.1-2017 — тестирование защитных мер с периодичностью по уровню защищённости. 152-ФЗ — не прямо, но через требование оценки эффективности мер защиты.
Как часто нужны VA, пентест и Red Team?
VA — непрерывно или ежеквартально (PCI DSS 11.2 — ежеквартальные ASV-сканы). Pentest — минимум раз в год и после значимых изменений (PCI DSS 11.3.1). Red Team — раз в год для зрелых организаций; TIBER-EU / DORA TLPT — раз в 3 года для критических финансовых.
Какие сертификации нужны специалистам?
Pentest: OSCP (gold standard), OSWE (web), CEH, CompTIA PenTest+. Red Team: CRTO (AD + Cobalt Strike), CRTP (Enterprise AD), OSEP (evasion), OSCE3 (combined, признаётся CREST). Для участия в TIBER-EU / CBEST — CREST CRT / CCT обязателен.
Compliance-driven vs Threat-driven пентест — что выбрать?
Compliance-driven — для соответствия требованиям (PCI DSS, ISO 27001). Scope узкий, методология предсказуемая, результаты повторяются. Threat-driven (Risk-based) — на основе актуального threat landscape. Scope определяется вопросом «какой актор с какими TTP нас атакует». Правильный баланс: compliance раз в год + threat-driven Red Team раз в 1–3 года.
Следующее обновление — июль 2026: актуализация цен, новые регуляторные изменения по DORA.
Нужен пентест или Red Team?
МЕТЕОР проводит AI-assisted пентест по методологии OWASP WSTG, PTES и PCI DSS. Для зрелых команд — Red Team engagement с MITRE ATT&CK adversary emulation и проверкой Blue Team.