Распечатанная таблица ROI на плотной кремовой бумаге с тремя колонками и пометкой «RED TEAM ROI · 72h TO DOMAIN ADMIN». Рядом лежит перьевая ручка, мягкий дневной свет падает из окна на светлый стол.


На одном из engagement'ов команда за 72 часа получила Domain Admin через Kerberoasting и lateral movement по плоской сети без сегментации. Отчёт на 80 страниц, 14 критических находок, полная цепочка от фишинга до эксфильтрации. CFO посмотрел на первую страницу и спросил: "Сколько денег мы сэкономили?". Отчёт ушёл в стол. Бюджет на следующий год срезали на 30%.

Проблема тут не в технической компетенции. Проблема в том, что мы разговариваем на разных языках - и эта статья про то, как наконец перевести.

Почему бизнес не покупает "14 критических уязвимостей"​

Бизнес-руководство оперирует тремя категориями: выручка, расходы и риски. Severity, CVSS score, lateral movement - ни одно из этих слов не попадает ни в одну из них. Результат: red team воспринимается как статья расходов без измеримой отдачи.

Корпоративная культура кибербезопасности в большинстве организаций крутится вокруг compliance - "мы прошли аудит, мы соответствуем требованиям". Red team по определению ломает эту иллюзию, показывая что формальное соответствие стандартам (ISO 27001, ГОСТ Р 57580) не равно реальной защищённости. Для бизнеса это некомфортная правда, и подавать её нужно в правильной упаковке.

Вот типичный разрыв коммуникации - таблицу я составлял для подготовки к презентации перед советом директоров:

Что говорит пентестерЧто слышит CFOКак переформулировать
Получили Domain Admin за 72 часаКто-то играет в хакеров за наши деньгиЗлоумышленник получает полный контроль над IT за 3 дня - потенциальный ущерб: полная остановка операций
14 критических уязвимостейБыло 12 - стало хуже?Устранение 14 находок снижает вероятность инцидента на 60% = X млн руб. предотвращённых потерь
Blue team не обнаружила нас 5 днейSOC не работает, зря платимВремя обнаружения сократилось с 14 до 5 дней - экономия Y млн руб. за счёт раннего реагирования
Нужен Cobalt Strike и инфраструктураОпять просят денег на игрушкиИнвестиция X руб. в инструментарий окупается за 1 квартал при текущем уровне рисков
Kerberoasting на 40% сервисных аккаунтовНабор букв40% сервисных учёток могут быть взломаны без детектирования - прямой путь к остановке ERP

Этот перевод с технического на финансовый - навык, которому не учат ни на одном курсе по offensive security. Но именно он определяет, будет ли у программы бюджет на следующий год.

Как строить обоснование red team для бизнеса: фреймворк ALE​

1783455650628.webp

По данным Forrester Research (2025), 72% организаций, внедривших формализованную оценку ROI для программ security testing, получили увеличение бюджета в следующем финансовом году. Среди тех, кто ROI не измерял - только 31%. Корреляция прямая: кто говорит на языке денег, тот деньги и получает.

Самый распространённый фреймворк - модель Annualized Loss Expectancy (ALE), адаптированная для red team engagement. Она переводит технические находки в язык финансовых рисков. И что приятно - считается на салфетке.

Формула расчёта​

Шаг 1. ALE без red team:

ALE = SLE × ARO
  • SLE (Single Loss Expectancy) - полная стоимость одного инцидента: реагирование, юристы, регуляторные штрафы, потеря клиентов, репутационный ущерб. По данным IBM Cost of a Data Breach Report, средняя стоимость утечки глобально - $4-5 млн, а в США может превышать $9-10 млн (зависит от года отчёта)
  • ARO (Annual Rate of Occurrence) - вероятность эксплуатации уязвимости в течение года без устранения
Шаг 2. Полная стоимость программы:

Стоимость RT = Гонорар + Время внутренних сотрудников + Ремедиация + Ретест

Шаг 3. ROI:

ROI = ((ALE_без − ALE_с) − Стоимость_RT) / Стоимость_RT × 100%

Пример расчёта​

Финансовая организация заказывает ежегодный red team assessment. Оценка стоимости инцидента - 300 млн руб. (штрафы ЦБ, простой систем, потеря клиентов, юристы). ARO без red team - 0.25 (раз в 4 года, консервативная оценка для финсектора). ARO после red team и ремедиации - 0.10.

ПараметрБез red teamС red team
SLE (стоимость инцидента)300 000 000 руб.300 000 000 руб.
ARO (вероятность/год)0.250.10
ALE (ожидаемые годовые потери)75 000 000 руб.30 000 000 руб.

Снижение риска: 75 000 000 − 30 000 000 = 45 000 000 руб.

Стоимость программы red team (assessment + ремедиация + ретест): 8 000 000 руб.

ROI = (45 000 000 − 8 000 000) / 8 000 000 × 100% = 462%


На каждый вложенный рубль - 4.6 рубля предотвращённых потерь.

Тут надо оговориться: ARO - это экспертная оценка, а не точная цифра. Но даже при максимально консервативных допущениях ROI red team обычно превышает 200%. Для CFO это убедительнее любого списка CVE. Попробуйте занести ему Excel с такой табличкой - разговор пойдёт совсем иначе.

Для более детального анализа можно взять методологию FAIR (Factor Analysis of Information Risk), которая декомпозирует риск на Loss Event Frequency и Loss Magnitude - но для первого питча ALE-модели хватит за глаза.

Метрики эффективности red team для пентест-отчёта менеджменту

Одна таблица с ROI - хороший старт, но для устойчивого финансирования год к году её мало. Нужен набор метрик, который показывает динамику. Менеджмент любит тренды - дайте им тренды.

Финансовые метрики​

  • Cost avoidance ratio - отношение предотвращённого ущерба к стоимости программы. Целевой порог: 4:1 и выше. Ниже 3:1 - повод пересмотреть scope или методологию
  • Снижение страховых премий - организации с документированной программой red team могут получать скидку на киберстрахование. Такая экономия частично компенсирует стоимость assessment'а (уточняйте у своего страховщика - разброс по рынку большой)
  • Стоимость ремедиации на находку - трекайте год к году. Если снижается - значит базовая зрелость кибербезопасности организации растёт, и вы можете это доказать цифрами

Операционные метрики​

  • MTTD (Mean Time to Detect) - насколько быстро SOC обнаруживает действия red team. По отраслевым наблюдениям, команды, регулярно работающие против red team, улучшают детекцию на 25-40% в течение 12 месяцев. Это, пожалуй, самая наглядная метрика для руководства
  • Тренд severity находок - распределение Critical / High / Medium / Low по последовательным engagement'ам. Сдвиг в сторону Medium / Low за 2-3 года = зрелость защиты растёт, инвестиции окупаются
  • Процент некорректно настроенных СЗИ - по опыту индустрии, при первом red team assessment почти всегда обнаруживается минимум одно средство защиты, которое настроено неправильно или вообще не работает. Одна эта метрика часто оправдывает всю инвестицию. На одном проекте мы нашли EDR, у которого был отключён модуль поведенческого анализа - стоял как декорация три месяца

Шаблон executive summary: бюджет на кибербезопасность в одном документе​

1783455707599.webp

Технический отчёт на 80 страниц никто из руководства не прочитает. Нужен executive summary на одну страницу. Вот структура, которая работала в моей практике:
  1. Цель и scope - одно предложение: "Оценка устойчивости инфраструктуры к целевой атаке уровня APT, период: DD.MM–DD.MM, модель: предполагаемый внешний злоумышленник"
  2. Ключевой результат - одна цифра: "Полный контроль над AD-инфраструктурой получен за N часов"
  3. Бизнес-импакт - что мог сделать реальный злоумышленник: остановка ERP, доступ к финансовым системам, эксфильтрация ПДн (объём записей + потенциальные штрафы по 152-ФЗ)
  4. Финансовая оценка риска - таблица ALE до и после ремедиации, итоговый ROI
  5. Топ-3 критических цепочки атаки - не отдельные уязвимости, а полные цепочки. Пример: Spearphishing Attachment (T1566.001, Initial Access) -> Valid Accounts (T1078, Persistence/Privilege Escalation) -> OS Credential Dumping (T1003, Credential Access) -> полная компрометация домена. Каждая цепочка описана в бизнес-терминах: "от письма с вложением до доступа к 1С за 48 часов"
  6. Динамика - сравнение с прошлым engagement: MTTD, количество критических находок, время до получения привилегированного доступа
  7. Рекомендации с приоритетами - три уровня: "исправить за 2 недели / 1 месяц / 1 квартал", каждый с оценкой снижения ALE в рублях
Формат работает, потому что руководство видит привычную структуру: проблема -> цена проблемы -> решение -> стоимость решения -> ROI. Точно так же CFO оценивает любой другой бизнес-проект. Вы просто перестаёте быть "непонятными хакерами" и становитесь подразделением, которое умеет считать деньги.

Security awareness и корпоративная культура: побочный эффект red team​

Финансовое обоснование - необходимое, но не достаточное условие. Red team даёт эффект, который сложно посчитать в деньгах, но который критически важен для зрелости организации.

Security awareness перестаёт быть формальностью. Когда SOC-аналитик пропускает цепочку от Exploit Public-Facing Application (T1190, Initial Access) через Exploitation for Privilege Escalation (T1068) до Disable or Modify Tools (T1685, Defense Evasion) - это урок, который не заменит никакой слайд "не кликайте по подозрительным ссылкам". После red team engagement формальный awareness-тренинг превращается в предметный разбор конкретных сценариев. Разница - как между учебником ПДД и заносом на мокрой трассе.

Blue team получает практику на реальных TTP. Между "мы знаем, что такое Kerberoasting" и "мы детектировали Kerberoasting в своей инфраструктуре за 4 минуты" - пропасть. Red team эту пропасть закрывает без последствий реального инцидента. Тренировка на живом полигоне, а не на слайдах.

Руководство начинает принимать информированные решения. После engagement'а, где red team дошла до финансовых систем через скомпрометированный VPN-аккаунт, разговор о бюджете на MFA из "зачем нам это" превращается в "когда внедряем". Этот культурный сдвиг - дополнительный аргумент для бизнес-кейса: red team не только снижает вероятность инцидента, но поднимает общий уровень управления рисками ИБ в организации.

Точка зрения​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Мой прогноз: в ближайшие два года навык финансового обоснования станет обязательным требованием для позиции Red Team Lead в вакансиях на hh.ru - наравне с Cobalt Strike и BloodHound. Кто освоит ALE-фреймворк и научится делать executive summary на одну страницу сейчас, тот через год будет выбирать между офферами, а не между проектами. На WAPT в Codeby эту связку "техника + бизнес-обоснование" разбирают на конкретных кейсах - от расчёта ALE до структуры executive summary.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab