Представь картину. Ты потратил полгода и миллион рублей на внедрение некст ген фаервола, поставил IDS/IPS, настроил SIEM, обучил сотрудников не переходить по подозрительным ссылкам. Нанял пентестеров, они посканировали порты, нашли пару дырок, ты их закрыл. Всё, ты в домике. Можно спать спокойно.
А теперь другая картина. Четверо ребят в куртках с логотипом известной пиццерии подходят к твоему офису в пятницу вечером. Охранник на проходной открывает дверь, потому что «пиццу привезли». Один из курьеров отвлекает его разговором, двое проходят внутрь, подключают к свободной розетке в переговорке маленькую коробочку с Raspberry Pi и уходят. В понедельник утром твоя внутренняя сеть уже не твоя. У тебя есть два варианта развития событий: либо завод встаёт на неделю, либо чертежи нового продукта уплывают к конкурентам. А фаервол, на который ты потратил полжизни, даже не чихнул - он же защищает от внешних атак, а не от пиццы.
Это не сценарий плохого боевика. Это реальность, в которой живёт 90% бизнеса. Ты проверяешь то, что удобно проверять: порты, веб-морды, версии софта. А враг атакует то, что ты не защищаешь: людей, физику, доверие. И ему плевать на твой список CVE.
Threat-led пентестинг - это когда ты перестаёшь быть страусом и наконец смотришь на свою безопасность глазами того, кто реально хочет тебя уничтожить. Не абстрактного хакера из отчётов, а конкретного мясника, который прочитал твою корпоративную газету, знает, где ты куришь и когда твоя охрана уходит в туалет.
В этой статье не будет скучных определений и рекламы вендоров. Будет рассказ о том, как красные команды живут в твоей сети по три месяца, пока ты думаешь, что всё спокойно. Как они крадут ноутбуки из грузовиков, проникают в лаборатории с опасными химикатами и выносят бэкапы прямо из-под носа у админов. И главное - как после этого не сдохнуть, а стать крепче.
Не просто дыры, а катастрофа
Ты когда-нибудь задумывался, почему даже после самого дорогого пентеста компании продолжают ложиться от рэнсомвайра? Почему открытый 22 порт закрывают, а завод останавливается? Потому что ты лечишь насморк, когда у больного рак легких. Ты ищешь баги в софте, а надо проверять, выживет ли бизнес, когда придет настоящий мясник.Традиционный пентест - это история про уязвимости. CVSS-скоры, CVE-идентификаторы, рекомендации "смени пароль", "обнови библиотеку". Отчеты читает только безопасник, остальным плевать. Директор завода пролистывает 50 страниц и видит только бюджет, который опять потратили непонятно на что. А когда приходит атака, выясняется, что все эти дыры - это цветочки. Ягодки - это то, что бэкапы лежали на тех же серверах, что и продакшен, что физическая охрана пропускает любого с бейджем, что SCADA-сеть торчит в интернет через костыли.
Threat-led - это про другое
Это где ты не сканируешь порты, а моделируешь поведение реального врага. Не абстрактного "хакера из интернета", а конкретную группировку, у которой есть мотивация тебя уничтожить. Китайские APT, которым нужны твои чертежи. Конкуренты, которые хотят остановить твой завод на неделю. Подростки из телеграма, мечтающие закричать "мы взломали Роснефть".
TLPT (Threat-Led Penetration Testing) отвечает на вопрос: "Что будет, если враг добьется своей цели?". А цель у него - не просто зайти и посидеть. Цель - катастрофа. Уничтожение бэкапов, чтобы ты не восстановился. Остановка конвейера, чтобы ты потерял контракты. Шифрование баз данных, чтобы ты заплатил миллион. Слив чертежей, чтобы конкуренты выпустили твой продукт раньше тебя.
И вот здесь обычный пентест не работает. Потому что он проверяет наличие замков, но не проверяет, что будет, если замки открыть, а внутри сидит бомба.
Пример
Обычный пентестер приходит на завод, сканирует сеть, находит устаревшую версию OpenSSL в какой-то АСУ ТП, пишет в отчете "обновить". Уходит. А threat-led команда приходит и говорит: давайте представим, что мы группировка, которая хочет остановить производство. Мы не будем ломать OpenSSL, мы пойдем другим путем.
Они лезут через физику: перелезают забор, крадут ноутбук у инженера, который курит в неположенном месте. На ноутбуке - доступ к SCADA. Дальше - вход в промышленную сеть, поиск PLC-контроллеров, подача команды "стоп". Всё. Завод встал. Бэкапы? А они на том же контроллере домена, который мы уже снесли по пути. Восстанавливаться не с чего.
И вот тут владелец завода понимает: его безопасность стоила миллион, а сдох завод от того, что охранник отвернулся на пять минут.
Бизнесу плевать на уязвимости, больно от простоя
Смотри в корень. Твоего гендиректора не волнует, сколько у тебя критических уязвимостей в биллинге. Его волнует, сколько денег принесет компания в этом квартале. Если завод встанет на день - это потеря миллионов. Если утекут чертежи нового продукта - это потеря рынка. Если клиенты увидят, что ты слил их данные - это потеря репутации.
Threat-led пентестинг переводит безопасность из языка технарей на язык бизнеса. Он показывает не "у вас 150 критических дыр", а "если мы проигнорируем физическую защиту, завод встанет на две недели и вы потеряете 10 миллионов". Это язык, на котором говорят собственники.
От CVSS к сценариям
В традиционном подходе ты меришь всё CVSS-скоро - от 1 до 10, насколько опасна дыра. В TLPT ты меришь сценариями. У тебя есть список "коронных драгоценностей" (crown jewels) - то, без чего бизнес умрет. И ты проверяешь, как враг может до них добраться.
Не важно, через какую дыру он зайдет - важно, что он сделает, когда зайдет. Может, он вообще не через дыру зайдет, а через уборщицу, которая принесет зараженную флешку. Или через подрядчика, который подключается к твоей сети удаленно с рандомного ноутбука.
Конечно, TLPT дороже обычного пентеста. Он дольше, сложнее, требует участия кучи народу. Но он окупается ровно в тот момент, когда ты понимаешь, что твой завод можно остановить с парковки через Wi-Fi незакрытого склада.
Если ты до сих пор считаешь, что безопасность - это антивирус и сложный пароль, ты не дорос до threat-led. Возвращайся к сканированию портов. А если ты готов к правде - поехали дальше.
Чем TLPT отличается от обычного пентеста - раскладываем по полочкам
Давай разберем, чем threat-led пентестинг отличается от того, что ты привык называть "проверкой безопасности".Цель: галочка против выживания
Обычный пентест отвечает на вопрос "какие у меня есть дыры?". Ты нанимаешь ребят, они сканируют порты, дергают эксплойты, находят устаревший софт и пишут отчет. Цель - закрыть галку в плане мероприятий, успокоить регулятора, сказать аудиторам "мы проводили пентест". Всем плевать, что будет, если эти дыры реально использовать.
Threat-led отвечает на вопрос "сдохну ли я, если кто-то этими дырами воспользуется?". Здесь цель - проверить, сможет ли реальный враг реализовать катастрофический сценарий. Уничтожить бэкапы, остановить производство, украсть чертежи. Это проверка на выживание, а не на соответствие чек-листу.
Объем: один сервер против всего бизнеса
Обычный пентестер получает список IP-адресов или несколько URL. Он сканирует то, что ему разрешили. Выйти за рамки скоупа нельзя - это нарушение договора. Если дыра есть в смежной системе, которая не в списке, - ему плевать, он свое отработал.
В threat-led скоуп - это весь бизнес. Красные могут атаковать через физику, через подрядчиков, через социальную инженерию. Им можно лезть куда угодно, потому что реальный хакер не будет спрашивать разрешения. Единственное ограничение - "коронные драгоценности", которые нельзя трогать по-настоящему, чтобы не угробить компанию.
Подход: сканеры против креатива
Обычный пентест часто напоминает работу экскаватора: включил Nessus, собрал уязвимости, пробежался по топ-10 OWASP, написал отчет. Да, есть ручная работа, но в целом это предсказуемо и шаблонно.
Threat-led - это работа художника. Красные моделируют поведение конкретной группировки. Если по threat-intel это китайские APT, они будут использовать их тактики. Если это хактивисты - другие методы. Здесь нет шаблонов, каждый тест уникален, потому что уникальна твоя компания и твои враги.
Осведомленность защиты: знают против не в курсе
В обычном пентесте Blue Team (защитники) обычно знают о тесте. Им говорят: "ребяты, с понедельника будут тестировать, будьте готовы". Они готовятся неделю, патчат что могли, настраивают мониторинг. В итоге тест проходит в тепличных условиях, где защитники играют с поднятым забралом.
В threat-led о тесте знает только Control Team. Blue Team работает в обычном режиме, думает, что это реальная атака. У них нет времени готовиться, они реагируют как в жизни. Это единственный способ проверить, как система работает под нагрузкой, а не в режиме "нас сейчас будут тестировать".
Длительность: дни против месяцев
Обычный пентест занимает от нескольких дней до пары недель. Пришел, посканировал, ушел. За это время можно найти только поверхностные проблемы.
Threat-led длится минимум 12 недель, часто 3-6 месяцев. Красные живут в твоей сети, изучают ее, ищут неочевидные пути. Они могут месяцами ждать подходящего момента для физического проникновения или фишинговой атаки. Это марафон, а не спринт.
Результат: список CVE против плана выживания
Обычный пентест выдает список уязвимостей с CVSS-скоро. Критичные, высокие, средние. Рекомендации: "обнови", "смени пароль", "закрой порт". Отчет читают только безопасники, остальным он до лампочки.
Threat-led выдает разбор того, как именно реализовали сценарий. Где были слепые зоны, почему сработала социалка, как обошли мониторинг. Это документ для совета директоров, где написано не про уязвимости, а про риски для бизнеса. "Если мы не закроем физический доступ, завод встанет на две недели". Это язык, на котором говорят собственники.
Команда: одиночки против спецназа
Обычный пентест могут делать один-два человека с ноутбуками и набором скриптов. Им не надо много народу.
В threat-led участвует целая армия: красная команда (те, кто ломает), синяя команда (те, кто защищается и не в курсе), контрольная команда (менеджеры, которые следят за правилами), threat-intel аналитики (которые рисуют портрет врага). Это сложный механизм, где каждая шестеренка важна.
Стоимость: бюджетный ремонт против инвестиций в выживание
Обычный пентест стоит от 100 тысяч до пары миллионов рублей. Для бизнеса это копейки, поэтому многие заказывают просто для галочки.
Threat-led стоит от 5-10 миллионов и выше. Это серьезные деньги. Но они окупаются одной предотвращенной аварией. Когда ты понимаешь, что твой завод можно остановить с парковки через Wi-Fi незакрытого склада, ты с радостью заплатишь эти деньги, чтобы закрыть дыру до того, как придут настоящие.
Отношение бизнеса: "опять безопасники" против "спасибо, что предупредили"
Обычный пентест вызывает у гендиректора зевоту. Он видит только потраченный бюджет и отчет, который не может прочитать.
Threat-led вызывает холодный пот. Когда красные показывают видео, как они заходят в офис через хвост, или демонстрируют доступ к пульту управления заводом, бизнес вдруг понимает, что безопасность - это не абстракция, а вопрос выживания. И отношение меняется кардинально.
Обычный пентест смотрит на технику и говорит "вот дыры". Threat-led смотрит на бизнес и говорит "вот как тебя убьют, и вот что делать, чтобы выжить". Первый проверяет замки, второй проверяет, выживешь ли ты после взрыва.
Если твоя безопасность заканчивается на сканировании портов - ты лох, и рано или поздно твой бизнес упадет. Threat-led - это не роскошь, а прививка от катастрофы. Дорого? А посчитай стоимость простоя завода на неделю. И сравни.
Архитектура TLPT - кто на ком стоит
Ты решил, что хочешь настоящий threat-led, а не детский сад с nmap'ом. Молодец. Но теперь придется разобраться, как эта херня устроена изнутри. Потому что просто нанять трех хакеров с кали-линукс и сказать "ломайте" - это не TLPT. Это будет либо хаос, либо уголовка, когда они положат завод по-настоящему.В threat-led пентестинге есть четкая иерархия, роли и зоны ответственности. Если хоть один элемент выпадает - тест превращается либо в бесполезную трату денег, либо в катастрофу. Разберем по костям, кто на ком стоит и кто за что отвечает.
Control Team (бывший White Team) - те, кто держат рубильник
Это самая важная и самая невидимая роль. Control Team - это менеджеры тестирования, которые сидят над схваткой и следят, чтобы процесс не угробил бизнес реально.
В их задачи входит:
- Определить "коронные драгоценности" (crown jewels) - то, что нельзя трогать ни в коем случае, потому что это убьет компанию. Например, сервер с базой данных нефтеперерабатывающего завода. Red Team может к нему подобраться, но не может его выключить.
- Согласовать правила взаимодействия (Rules of Engagement) - что можно, что нельзя, где стоп-кран.
- Мониторить процесс и если что-то идет реально опасно - останавливать тест.
- Быть единственным каналом связи между Red Team и бизнесом, пока тест идет втемную.
Threat Intelligence Provider - рисуем портрет врага
До того как красные начнут ломать, надо понять, кого они будут изображать. Потому что атака китайской APT-группировки, которая охотится за чертежами, и атака подростков-хактивистов, которые хотят просто положить сайт, - это две большие разницы.
Threat Intelligence Provider (провайдер разведки угроз) делает:
- Собирает данные о реальных группировках, которые могут быть заинтересованы в твоей компании.
- Анализирует их тактики, техники и процедуры (TTPs - Tactics, Techniques, Procedures) по фреймворку MITRE ATT&CK.
- Составляет профиль угрозы: какие векторы атак используют, какое у них оборудование, в какое время суток они активны, какие языки программирования предпочитают.
- Передает этот профиль Red Team, чтобы они атаковали не абстрактно, а максимально похоже на реального врага.
Red Team - те, кто ломает
Это те самые хакеры, которых ты нанял. Но в TLPT у них другая задача, чем в обычном пентесте. Они не просто ищут дыры, они пытаются реализовать конкретный сценарий, который согласован с Control Team.
Что делает Red Team:
- Работает в режиме полной скрытности. Никто, кроме Control Team, не знает о тесте. Даже гендиректор может не знать, если не входит в Control Team.
- Использует все доступные методы: фишинг, социальная инженерия, физическое проникновение, хакинг, взлом через подрядчиков.
- Пытается добраться до "коронных драгоценностей" и выполнить катастрофический сценарий (уничтожить бэкапы, остановить производство и т.д.).
- Документирует каждый шаг, но не светится. Потому что если Blue Team их заметит, они проиграли.
Blue Team - те, кто защищается (и не в курсе)
Самая жестокая часть TLPT. Синие ничего не знают о тесте. Они думают, что работают в обычном режиме, и отражают реальные атаки. Это единственный способ проверить, как система работает в боевых условиях, а не в режиме "нас сейчас будут тестировать, давайте подготовимся неделю".
Синие:
- Мониторят сеть, ловят подозрительную активность.
- Реагируют на инциденты.
- Пытаются вычислить и заблокировать красных.
- Не знают, что это учения, поэтому действуют максимально реалистично.
Взаимодействие между командами
Схема работает так:
- Threat Intelligence Provider готовит профиль угрозы и отдает Control Team.
- Control Team утверждает сценарии и правила и отдает Red Team.
- Red Team начинает атаку. Все коммуникации идут через Control Team, чтобы не спалиться.
- Blue Team защищается вслепую. Если они ловят красных - красные проигрывают в этом эпизоде.
- После окончания теста (который может длиться месяцами) все садятся за стол - это этап Purple Team.
Purple Team - разбор полетов
Когда тест закончен, красные и синие встречаются. Красные показывают, как они ломали, синие рассказывают, почему не заметили. Вместе разбирают каждый шаг, смотрят логи, выявляют слепые зоны.
Это самый полезный этап, потому что:
- Синие учатся новым тактикам.
- Красные понимают, как улучшить свои методы.
- Control Team получает материал для отчета бизнесу.
Кому это надо и кто платит
В идеальной архитектуре TLPT участвуют:
- Внешний провайдер (Red Team + Threat Intelligence).
- Внутренняя команда безопасности (Blue Team).
- Высший менеджмент (в Control Team, чтобы понимать риски и утверждать бюджет).
Собрать такую архитектуру сложно. Найти нормальную Red Team, которая умеет не только сканировать порты, но и социальную инженерию с физикой, - еще сложнее. Уговорить бизнес не паниковать, когда синие начнут орать о реальном взломе, - почти невозможно.
Но если ты прошел через это хотя бы раз, ты поймешь: обычный пентест после TLPT кажется детским лепетом. Потому что ты увидел свою компанию глазами врага. И это зрелище не для слабонервных.
Red Team в деле - три месяца тишины и ужаса
Ты нанял красных. Заплатил кучу денег. Control Team утвердил сценарии, threat-intel нарисовал портрет врага. И теперь начинается самое интересное - тихая охота, о которой никто не знает. Даже твоя служба безопасности думает, что всё спокойно.Три месяца. Именно столько в среднем длится хороший TLPT. Не три дня сканирования портов, а три месяца скрытной жизни в твоей инфраструктуре. И эти три месяца для твоей Blue Team станут либо лучшей тренировкой в жизни, либо полным провалом, о котором они узнают только из финального отчета.
Фаза первая: Разведка без касания
Первые недели красные даже не прикасаются к твоим системам. Они собирают информацию из открытых источников. OSINT - наше всё.
Что они делают:
- Шарят по гитхабу, не засветил ли твой разработчик пароли или токены.
- Смотрят LinkedIn - кто где работает, кто откуда уволился, кто может быть обиженным и готовым слить информацию.
- Ищут забытые поддомены, которые давно не обновлялись и могут быть уязвимы.
- Анализируют соцсети сотрудников - кто где отдыхает, кто любит халявный вайфай в кафе, кто выкладывает фото пропуска в инстаграм.
- Смотрят Shodan, Censys - не торчат ли наружу твои промышленные контроллеры или старые VPN-точки.
Фаза вторая: Первое проникновение
Дальше начинается самое интересное - поиск точки входа. У красных есть куча вариантов, и они пробуют всё:
- Фишинг. Сотруднику приходит письмо от "коллеги" с просьбой посмотреть документ. Письмо идеальное, потому что red team изучила стиль переписки, узнала, кто с кем общается. Достаточно одного клика.
- Социальная инженерия. Звонок в техподдержку от "забывчивого менеджера" с просьбой сбросить пароль. Если поддержка повелась - доступ получен.
- Физика. Красные приходят в офис, надев жилеты с логотипом клининга, и проходят через охрану. Или ждут у входа, пока закурент курящий сотрудник, и проходят за ним через турникет (tailgating). Или находят открытое окно на первом этаже.
- Подрядчики. Атакуют не тебя, а твоего IT-аутсорсера. Взламывают его и через VPN-доступ входят к тебе.
- Wi-Fi. Паркуются рядом с офисом, ловят корпоративный вайфай, пытаются взломать пароль. Часто это проще, чем кажется.
Фаза третья: Закрепление и движение вглубь
Просто зайти недостаточно. Надо закрепиться, чтобы не вылететь после перезагрузки или смены пароля.
Что делают красные:
- Ставят свои C2-фреймворки (Cobalt Strike, Sliver, Mythic). Это софт, который позволяет управлять зараженными машинами, обновлять полезную нагрузку, уходить от обнаружения.
- Создают несколько бэкдоров на случай, если один найдут.
- Изучают сеть. Кто где находится, какие серверы важные, где контроллеры домена, где файловые хранилища, где SCADA.
- Крадут учетки. Доменные админы - святая цель. Достаточно получить одного админа - и ты властелин сети.
Фаза четвертая: Ожидание и наблюдение
Самое мучительное для красных и самое опасное для тебя. Они уже внутри, но ничего не делают. Просто сидят и смотрят.
Зачем:
- Изучить ритм жизни компании. Когда админы уходят с работы, когда делают бэкапы, когда запускаются критические процессы.
- Понять, какие системы мониторинга работают, а какие нет. Куда смотрят синие, на что они реагируют.
- Найти идеальный момент для удара. Например, ночь с пятницы на субботу, когда защитники спят, а процессы все еще работают.
Фаза пятая: Реализация катастрофического сценария
И вот момент настал. Красные начинают действовать по тому сценарию, который утвердила Control Team.
- Если цель - уничтожить бэкапы, они идут в систему резервного копирования, отключают защиту, удаляют все джобы и сами архивы.
- Если цель - остановить завод, они проникают в промышленную сеть, находят PLC-контроллеры и отправляют команду "стоп".
- Если цель - рэнсомвайр, они запускают тестовый шифровальщик на критических серверах и смотрят, сработает ли аварийка.
- Если цель - физическое уничтожение, они уже внутри лаборатории и имитируют аварию (в контролируемых рамках, конечно).
Фаза шестая: Финал и эвакуация
Когда сценарий отработан, Control Team дает отмашку "стоп". Красные прекращают атаку, собирают логи, доказательства каждого шага. Они должны предоставить цепочку: как зашли, как двигались, что делали, где были замечены (или не замечены).
После этого они исчезают так же тихо, как появились. Удаляют свои бэкдоры, чистят логи, возвращают системы в исходное состояние. Официально тест закончен.
Что чувствует Blue Team
Представь себя на месте синего. Ты три месяца работаешь, думаешь, что всё спокойно. Мониторинг показывает норму, инцидентов нет. И вдруг приходит отчет: "Мы были у вас внутри три месяца, вот ваши пароли, вот ваши бэкапы, которые мы могли стереть, вот доступ к домен-контроллеру, а вы ничего не заметили".
У большинства синих в этот момент случается экзистенциальный кризис. Они думали, что защищают, а оказались слепыми котятами. Но это и есть цель TLPT - показать слепые зоны, которые не видны в обычной работе.
После теста начинается Purple Team - разбор полетов, где красные показывают синим, как именно их обманули. Это самый полезный этап, потому что синие учатся на реальных ошибках, а не на теории.
Не все красные одинаково полезны. Бывают ребята, которые приходят, запускают автоматические эксплойты, шумят на всю сеть и уходят с отчетом "мы зашли". Это не TLPT, это профанация.
Настоящая red team работает тихо, как призрак. Она использует те же методы, что и реальные хакеры: живется в сети, изучает, ждет, а потом бьет точно в цель. Три месяца тишины и ужаса - это не метафора, а реальность. Потому что настоящий враг тоже не спешит. Он ждет идеального момента.
Если ты не готов к тому, что в твоей сети кто-то живет месяцами, а ты об этом не знаешь - TLPT не для тебя. Но если готов - ты узнаешь о своей безопасности больше, чем за десять лет обычных пентестов.
Сценарии катастроф - не просто "зашли и вышли"
Ты нанял красных, они зашли, посидели, написали отчет "мы были внутри". И что? Ты заплатил миллион за то, чтобы узнать, что твоя безопасность говно? Это не threat-led. Это просто дорогой пентест.Настоящий TLPT отличается тем, что у красных есть конкретная цель. Не "зайти и выйти", а сделать что-то, от чего у гендиректора случится инфаркт, если это произойдет по-настоящему. Эти сценарии называются катастрофическими. Они моделируют действия реальных группировок, которые приходят не данные посмотреть, а убить бизнес.
Разберем самые жирные сценарии, которые закладывают в TLPT. Бери на заметку - это то, что тебе придется проверять, если ты хочешь выжить.
Сценарий первый: Уничтожение бэкапов
Это святая святых. Любой адекватный админ знает: если данные сдохли, но есть бэкапы - ты спасен. Поэтому первое, что сделает грамотный рэнсомвайр-оператор - найдет и грохнет резервные копии. Не просто файлы, а всю инфраструктуру бэкапов: ленточные библиотеки, облачные стораджи, офлайн-диски.
Как это делается в TLPT:
- Красные ищут, где лежат бэкапы. Обычно это отдельная сеть, но часто она связана с основной. Или доступ к ней есть у тех же админов.
- Они пытаются получить доступ к системе управления бэкапами (Veeam, CommVault, NetBackup). Если заходят - дальше техника: удалить все джобы, стереть каталоги, отформатировать хранилища.
- Проверяют офлайн-бэкапы. Если ты носишь ленты в сейф, красные попытаются узнать, где ключи от сейфа и у кого доступ. Физическое проникновение в архив - тоже вариант.
Сценарий второй: Остановка завода (промышленный кибербес)
Для производственных компаний это самый страшный сон. Остановка конвейера на день - это миллионы убытка. Остановка на неделю - потеря контрактов и клиентов. Остановка на месяц - банкротство.
TLPT в промышленности (OT - Operational Technology) выглядит так:
- Красные изучают, как устроена SCADA-система. Где контроллеры (PLC), кто ими управляет, как они связаны с IT-сетью.
- Они ищут путь из корпоративной сети в промышленную. Часто это какой-нибудь "удобный" RDP-доступ у инженера или забытый модем.
- Зайдя в OT-сеть, они начинают исследовать протоколы (Modbus, Profinet, S7). Цель - найти контроллер, который управляет критическим процессом: турбиной, печью, конвейером.
- Дальше варианты: подать команду "стоп", изменить параметры так, чтобы оборудование сломалось, или просто зашифровать файлы конфигурации, после чего станки не запустятся.
Сценарий третий: Физическое проникновение (офлайн-вектор)
Самый недооцененный сценарий. Все думают про хакинг, а хакеры приходят через дверь.
TLPT-команды обожают физику. Потому что это зрелищно и показывает дыры, которые не видит ни один сканер портов.
Что делают:
- Разведка цели. Где входы, где охрана, когда перекур, кто курит в неположенном месте.
- Социальная инженерия. Красные звонят от имени курьера, электрика, проверяющего из надзорной службы. Их пускают.
- Хвост (tailgating). Проходят за сотрудником через турникет, пока тот прикладывает карту. Охрана редко останавливает "своего".
- Кража оборудования. Находят ноутбук, оставленный без присмотра. Уносят, снимают пароль, получают доступ к корпоративной сети через VPN-клиент на этом ноутбуке.
- Подключение к внутренней сети. Заходят в переговорку, втыкают свой Raspberry Pi в розетку и уходят. А Pi уже работает как точка входа.
Сценарий четвертый: Компрометация цепочки поставок
Ты можешь быть самым защищенным, но твои подрядчики - дыра. Хакеры это знают и атакуют не тебя, а твоих поставщиков услуг.
В TLPT это моделируют так:
- Красные изучают, кто у тебя подрядчики: бухгалтерская фирма, IT-аутсорсер, клининг, охрана.
- Они пытаются взломать подрядчика. Не твою компанию, а его. Через фишинг, через уязвимости, через социалку.
- Получив доступ к подрядчику, они используют его как трамплин к тебе. Например, через VPN-подключение, которое у подрядчика есть к твоей сети.
- Или через физику: подрядчик приходит в офис с уборкой, а вместе с ним заходит красный.
Сценарий пятый: Рэнсомвайр-симуляция
Это любимая тема для финансового сектора и ритейла. Не просто зашифровать пару серверов, а развернуть полноценную атаку шифровальщика и посмотреть, как сработает аварийка.
Как это делают:
- Красные получают доступ к домен-контроллеру (обычно цель любого пентеста).
- Они распространяют "шифровальщик" (тестовый, безвредный, но имитирующий поведение настоящего) на критичные системы.
- Запускают процесс шифрования в тестовом режиме (реально ничего не шифруется, но логи и алерты идут).
- Наблюдают: сработает ли мониторинг? Отреагирует ли Blue Team? Как быстро? Отключат ли зараженные системы? Восстановятся ли из бэкапов?
Сценарий шестой: Слив интеллектуальной собственности
Для тех, кто живет не производством, а разработкой. Чертежи, исходный код, формулы, базы клиентов.
Здесь цель не уничтожить, а незаметно украсть. Красные пытаются:
- Найти, где хранятся "коронные драгоценности". Обычно это файловые хранилища, Git-репозитории, базы данных.
- Вытащить данные наружу. Не гигабайтами, а аккуратно, чтобы не спалиться. Используют легитимные каналы: облачные хранилища, почту, мессенджеры.
- Проверить, заметит ли система DLP (Data Loss Prevention) утечку. В реальности DLP часто настроена так, что не видит ничего.
Почему это работает
Все эти сценарии объединяет одно: они проверяют не технические дыры, а способность бизнеса выжить. Уничтожение бэкапов - это проверка Disaster Recovery. Остановка завода - проверка безопасности промышленных сетей. Физическое проникновение - проверка охраны и процедур.
И главное - красные не просто заходят, они пытаются сделать реальный ущерб. В контролируемых рамках, конечно. Control Team следит, чтобы не случилось настоящей катастрофы. Но для Blue Team это выглядит как реальная атака. И только так можно понять, готов ли ты к приходу настоящих мясников.
Заключение
Обычный пентест мертв
Не в том смысле, что его не надо делать совсем. Для закрытия галочек регулятора, для прохождения аудита, для базовой гигиены - ок, пусть будет. Но считать, что после обычного пентеста ты защищен, - это самоубийство. Потому что обычный пентест ищет баги в софте, а реальные хакеры атакуют людей, процессы и физику. Им плевать на твой обновленный OpenSSL, если охранник открывает дверь каждому, кто несет пиццу.
Threat-led пентестинг - это не просто "новая методика". Это смена парадигмы. Это переход от обороны крепости к обороне государства. Ты перестаешь надеяться, что враг не найдет дыру в стене, и начинаешь готовиться к тому, что он уже внутри и пытается взорвать пороховые склады.
Что ты получаешь на выходе
После хорошего TLPT у тебя будет не список CVE, а:
- Понимание, как именно твой бизнес могут убить. Не абстрактно "взломают сервер", а конкретно: "перелезут через забор, украдут ноутбук у инженера, через него зайдут в SCADA и остановят конвейер".
- Знание слепых зон твоей защиты. Тех мест, куда не смотрят мониторинги, где спит охрана, где соцработники готовы слить пароль за шоколадку.
- План действий, ранжированный не по CVSS-скору, а по реальному влиянию на бизнес. То, что чинить в первую очередь, чтобы не обанкротиться.
- Твоя Blue Team, прошедшая боевое крещение. Они больше не теоретики, которые читали про хакеров в книжках. Они видели, как их обманывали, и теперь знают, куда смотреть.
Если ты торгуешь шаурмой в ларьке - забей. Тебе TLPT не нужен. Твой риск - это украденный ящик пива.
Если у тебя завод, который останавливается на день и теряет миллионы, - тебе это надо. Если у тебя банк, который обязан отчитываться перед регулятором по DORA или TIBER, - тебе это обязательно. Если у тебя интеллектуальная собственность, чертежи, исходники, базы данных, которые стоят денег, - ты идиот, если не проверяешь, смогут ли их украсть.
Threat-led - это страховка от катастрофы. Дорогая, сложная, но единственная рабочая. Потому что когда придет настоящий враг, ему плевать на твой compliance. Он придет за твоими деньгами, и если ты не готов - ты корм.
Что дальше
Если после этой статьи у тебя зачесались руки и ты решил, что хочешь TLPT, - не беги сразу нанимать первых попавшихся хакеров. Начни с малого:
- Определи свои "коронные драгоценности". Что умрет, если это украдут или сломают?
- Подумай, кто может на это покушаться. Конкуренты? Хактивисты? Китайские APT? Государственные спецслужбы?
- Посмотри на свою защиту глазами врага. Где самые слабые места? Физика? Социалка? Подрядчики?
- Найди провайдера, который реально умеет делать TLPT, а не просто переименовал свой старый пентест в "threat-led" ради маркетинга. Спроси у них про опыт, про методологию, про TIBER или CBEST-сертификацию, про кейсы.
TLPT не делает тебя неуязвимым. Абсолютной защиты не существует. Но он делает тебя живучим. Ты узнаешь свои слабые места до того, как их найдут реальные хакеры. Ты потренируешь свою команду на реальных атаках, а не на теориях. Ты сможешь объяснить бизнесу, почему безопасность стоит денег, не на языке CVSS, а на языке рисков и убытков.
И если после всего этого ты все еще считаешь, что безопасность - это антивирус и сложный пароль, - возвращайся к сканированию портов. Там безопасно и скучно. А если ты готов к реальности - действуй.
