На одном из engagement'ов команда за 72 часа получила Domain Admin через Kerberoasting и lateral movement по плоской сети без сегментации. Отчёт на 80 страниц, 14 критических находок, полная цепочка от фишинга до эксфильтрации. CFO посмотрел на первую страницу и спросил: "Сколько денег мы сэкономили?". Отчёт ушёл в стол. Бюджет на следующий год срезали на 30%.
Проблема тут не в технической компетенции. Проблема в том, что мы разговариваем на разных языках - и эта статья про то, как наконец перевести.
Почему бизнес не покупает "14 критических уязвимостей"
Бизнес-руководство оперирует тремя категориями: выручка, расходы и риски. Severity, CVSS score, lateral movement - ни одно из этих слов не попадает ни в одну из них. Результат: red team воспринимается как статья расходов без измеримой отдачи.Корпоративная культура кибербезопасности в большинстве организаций крутится вокруг compliance - "мы прошли аудит, мы соответствуем требованиям". Red team по определению ломает эту иллюзию, показывая что формальное соответствие стандартам (ISO 27001, ГОСТ Р 57580) не равно реальной защищённости. Для бизнеса это некомфортная правда, и подавать её нужно в правильной упаковке.
Вот типичный разрыв коммуникации - таблицу я составлял для подготовки к презентации перед советом директоров:
| Что говорит пентестер | Что слышит CFO | Как переформулировать |
|---|---|---|
| Получили Domain Admin за 72 часа | Кто-то играет в хакеров за наши деньги | Злоумышленник получает полный контроль над IT за 3 дня - потенциальный ущерб: полная остановка операций |
| 14 критических уязвимостей | Было 12 - стало хуже? | Устранение 14 находок снижает вероятность инцидента на 60% = X млн руб. предотвращённых потерь |
| Blue team не обнаружила нас 5 дней | SOC не работает, зря платим | Время обнаружения сократилось с 14 до 5 дней - экономия Y млн руб. за счёт раннего реагирования |
| Нужен Cobalt Strike и инфраструктура | Опять просят денег на игрушки | Инвестиция X руб. в инструментарий окупается за 1 квартал при текущем уровне рисков |
| Kerberoasting на 40% сервисных аккаунтов | Набор букв | 40% сервисных учёток могут быть взломаны без детектирования - прямой путь к остановке ERP |
Этот перевод с технического на финансовый - навык, которому не учат ни на одном курсе по offensive security. Но именно он определяет, будет ли у программы бюджет на следующий год.
Как строить обоснование red team для бизнеса: фреймворк ALE
По данным Forrester Research (2025), 72% организаций, внедривших формализованную оценку ROI для программ security testing, получили увеличение бюджета в следующем финансовом году. Среди тех, кто ROI не измерял - только 31%. Корреляция прямая: кто говорит на языке денег, тот деньги и получает.
Самый распространённый фреймворк - модель Annualized Loss Expectancy (ALE), адаптированная для red team engagement. Она переводит технические находки в язык финансовых рисков. И что приятно - считается на салфетке.
Формула расчёта
Шаг 1. ALE без red team:ALE = SLE × ARO- SLE (Single Loss Expectancy) - полная стоимость одного инцидента: реагирование, юристы, регуляторные штрафы, потеря клиентов, репутационный ущерб. По данным IBM Cost of a Data Breach Report, средняя стоимость утечки глобально - $4-5 млн, а в США может превышать $9-10 млн (зависит от года отчёта)
- ARO (Annual Rate of Occurrence) - вероятность эксплуатации уязвимости в течение года без устранения
Стоимость RT = Гонорар + Время внутренних сотрудников + Ремедиация + РетестШаг 3. ROI:
ROI = ((ALE_без − ALE_с) − Стоимость_RT) / Стоимость_RT × 100%Пример расчёта
Финансовая организация заказывает ежегодный red team assessment. Оценка стоимости инцидента - 300 млн руб. (штрафы ЦБ, простой систем, потеря клиентов, юристы). ARO без red team - 0.25 (раз в 4 года, консервативная оценка для финсектора). ARO после red team и ремедиации - 0.10.| Параметр | Без red team | С red team |
|---|---|---|
| SLE (стоимость инцидента) | 300 000 000 руб. | 300 000 000 руб. |
| ARO (вероятность/год) | 0.25 | 0.10 |
| ALE (ожидаемые годовые потери) | 75 000 000 руб. | 30 000 000 руб. |
Снижение риска: 75 000 000 − 30 000 000 = 45 000 000 руб.
Стоимость программы red team (assessment + ремедиация + ретест): 8 000 000 руб.
ROI = (45 000 000 − 8 000 000) / 8 000 000 × 100% = 462%
На каждый вложенный рубль - 4.6 рубля предотвращённых потерь.
Тут надо оговориться: ARO - это экспертная оценка, а не точная цифра. Но даже при максимально консервативных допущениях ROI red team обычно превышает 200%. Для CFO это убедительнее любого списка CVE. Попробуйте занести ему Excel с такой табличкой - разговор пойдёт совсем иначе.
Для более детального анализа можно взять методологию FAIR (Factor Analysis of Information Risk), которая декомпозирует риск на Loss Event Frequency и Loss Magnitude - но для первого питча ALE-модели хватит за глаза.
Метрики эффективности red team для пентест-отчёта менеджменту
Одна таблица с ROI - хороший старт, но для устойчивого финансирования год к году её мало. Нужен набор метрик, который показывает динамику. Менеджмент любит тренды - дайте им тренды.Финансовые метрики
- Cost avoidance ratio - отношение предотвращённого ущерба к стоимости программы. Целевой порог: 4:1 и выше. Ниже 3:1 - повод пересмотреть scope или методологию
- Снижение страховых премий - организации с документированной программой red team могут получать скидку на киберстрахование. Такая экономия частично компенсирует стоимость assessment'а (уточняйте у своего страховщика - разброс по рынку большой)
- Стоимость ремедиации на находку - трекайте год к году. Если снижается - значит базовая зрелость кибербезопасности организации растёт, и вы можете это доказать цифрами
Операционные метрики
- MTTD (Mean Time to Detect) - насколько быстро SOC обнаруживает действия red team. По отраслевым наблюдениям, команды, регулярно работающие против red team, улучшают детекцию на 25-40% в течение 12 месяцев. Это, пожалуй, самая наглядная метрика для руководства
- Тренд severity находок - распределение Critical / High / Medium / Low по последовательным engagement'ам. Сдвиг в сторону Medium / Low за 2-3 года = зрелость защиты растёт, инвестиции окупаются
- Процент некорректно настроенных СЗИ - по опыту индустрии, при первом red team assessment почти всегда обнаруживается минимум одно средство защиты, которое настроено неправильно или вообще не работает. Одна эта метрика часто оправдывает всю инвестицию. На одном проекте мы нашли EDR, у которого был отключён модуль поведенческого анализа - стоял как декорация три месяца
Шаблон executive summary: бюджет на кибербезопасность в одном документе
Технический отчёт на 80 страниц никто из руководства не прочитает. Нужен executive summary на одну страницу. Вот структура, которая работала в моей практике:
- Цель и scope - одно предложение: "Оценка устойчивости инфраструктуры к целевой атаке уровня APT, период: DD.MM–DD.MM, модель: предполагаемый внешний злоумышленник"
- Ключевой результат - одна цифра: "Полный контроль над AD-инфраструктурой получен за N часов"
- Бизнес-импакт - что мог сделать реальный злоумышленник: остановка ERP, доступ к финансовым системам, эксфильтрация ПДн (объём записей + потенциальные штрафы по 152-ФЗ)
- Финансовая оценка риска - таблица ALE до и после ремедиации, итоговый ROI
- Топ-3 критических цепочки атаки - не отдельные уязвимости, а полные цепочки. Пример: Spearphishing Attachment (T1566.001, Initial Access) -> Valid Accounts (T1078, Persistence/Privilege Escalation) -> OS Credential Dumping (T1003, Credential Access) -> полная компрометация домена. Каждая цепочка описана в бизнес-терминах: "от письма с вложением до доступа к 1С за 48 часов"
- Динамика - сравнение с прошлым engagement: MTTD, количество критических находок, время до получения привилегированного доступа
- Рекомендации с приоритетами - три уровня: "исправить за 2 недели / 1 месяц / 1 квартал", каждый с оценкой снижения ALE в рублях
Security awareness и корпоративная культура: побочный эффект red team
Финансовое обоснование - необходимое, но не достаточное условие. Red team даёт эффект, который сложно посчитать в деньгах, но который критически важен для зрелости организации.Security awareness перестаёт быть формальностью. Когда SOC-аналитик пропускает цепочку от Exploit Public-Facing Application (T1190, Initial Access) через Exploitation for Privilege Escalation (T1068) до Disable or Modify Tools (T1685, Defense Evasion) - это урок, который не заменит никакой слайд "не кликайте по подозрительным ссылкам". После red team engagement формальный awareness-тренинг превращается в предметный разбор конкретных сценариев. Разница - как между учебником ПДД и заносом на мокрой трассе.
Blue team получает практику на реальных TTP. Между "мы знаем, что такое Kerberoasting" и "мы детектировали Kerberoasting в своей инфраструктуре за 4 минуты" - пропасть. Red team эту пропасть закрывает без последствий реального инцидента. Тренировка на живом полигоне, а не на слайдах.
Руководство начинает принимать информированные решения. После engagement'а, где red team дошла до финансовых систем через скомпрометированный VPN-аккаунт, разговор о бюджете на MFA из "зачем нам это" превращается в "когда внедряем". Этот культурный сдвиг - дополнительный аргумент для бизнес-кейса: red team не только снижает вероятность инцидента, но поднимает общий уровень управления рисками ИБ в организации.
Точка зрения
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Мой прогноз: в ближайшие два года навык финансового обоснования станет обязательным требованием для позиции Red Team Lead в вакансиях на hh.ru - наравне с Cobalt Strike и BloodHound. Кто освоит ALE-фреймворк и научится делать executive summary на одну страницу сейчас, тот через год будет выбирать между офферами, а не между проектами. На WAPT в Codeby эту связку "техника + бизнес-обоснование" разбирают на конкретных кейсах - от расчёта ALE до структуры executive summary.
Последнее редактирование модератором: