| Уровень 1 | Уровень 2 | Уровень 3 | Уровень 4 | Уровень 5 | Уровень 5+ DORA |
|
|---|---|---|---|---|---|---|
| Инструмент | Аудит / сканер | Пентест | BAS | Bug Bounty | Кибериспытания | TLPT / DORA |
| Портрет компанииКто вы сейчас | Нет инвентаризации. Патчи нерегулярны. Политик безопасности нет. | Базовая гигиена есть. Периметр закрыт. Мониторинга событий нет. | Есть SOC или MDR. Инфраструктура растёт. Пентесты не успевают за изменениями. | Зрелая инфраструктура. Есть AppSec. Пентесты перестали удивлять. | Топ-30 РФ. Эшелонированная оборона. Внутренний Red Team. | Системно значимая финансовая организация — ЕС или ориентир для ЦБ РФ. |
| Что проверяетВопрос к защите | Что вообще есть и где очевидные дыры? | Можно ли взломать периметр и что там внутри? | Замечает ли SOC известные техники атак? | Есть ли уязвимости в коде, API и бизнес-логике? | Можно ли реализовать конкретное НС через цепочку уязвимостей? | Выдержит ли бизнес скрытную атаку профессионального противника месяцами? |
| Метод / инструмент атакиФормат | Автоматизированный анализ | 1 команда, 2–5 человек | Автоматика по базе MITRE ATT&CK | Сообщество исследователей, scope ограничен | Сообщество исследователей, соревновательно, вся инфраструктура | 1 сертифицированная команда, имитирует конкретную APT-группировку |
| Threat Intelligence | Нет | Частично | Да — база TTP | Нет | Частично | Обязательно — профиль APT |
| Purple TeamРазбор атаки | Нет | Нет | Нет | Нет | Нет | Обязательно |
| Контроль регулятора | Нет | Нет | Нет | Нет | Нет | Контролирует |
| Среда тестирования | Продакшн / конфиги | Продакшн | Продакшн | Продакшн (scope) | Стенд или продакшн * | Продакшн (живой) |
| Длительность | 1–5 дней | 1–2 недели | Непрерывно (утилита) | Непрерывно (люди) | 3 месяца | 3–4 мес. атака + 12 мес. подготовка |
| Ориентир по бюджетуРоссийский рынок 2025 | от 100 тыс. ₽ | от 300 тыс. ₽ | от 1 млн ₽/год | средняя выплата за баг — 65 тыс. ₽; максимум — до 5 млн ₽ |
от 3 до 50 млн ₽ за НС | от 10 млн ₽ + регуляторные издержки |
| Что получает CISOРезультат | Список уязвимостей с приоритетами. Карта активов. | Векторы атак. Задачи для IT-команды. | Карта покрытия детектов. Настройка правил SOC. | Поток находок по коду и API. Планомерное вычищение. | Диагностика слепых зон. Стресс-тест SOC. Понимание реальной устойчивости. | Регуляторный отчёт. Purple Teaming. Доказательство устойчивости для ЕЦБ и ориентир для будущих требований ЦБ РФ. |
| Что получает руководствоЯзык для совета директоров | «Знаем что есть и где критичные дыры» | «Периметр проверен, найдены конкретные проблемы» | «Атаки на нас замечаем вовремя» | «Код и API постоянно проверяет независимое сообщество» | «Проверили: реализовать НС — сложно. Вот где пробелы.» | «Регулятор подтвердил операционную устойчивость» |
| Когда НЕ стоитОшибки выбора | Аудит нужен всегда. Единственное исключение — нет ни одного человека кто будет работать с результатами | ✗ Если ещё нет инвентаризации активов | ✗ Если нет SOC — некому смотреть на результаты | ✗ Если нет процесса обработки находок и SLA на исправление | ✗ Если пентесты ещё находят очевидное. Дорогой способ узнать про дефолтные пароли. | ✗ Если нет White Team и бюджета на устранение после |
| Следующий шагКуда расти | → Пентест + внедрение NGFW | → BAS + SOC или MDR | → Bug Bounty — когда выстроен процесс обработки находок и есть SLA | → Кибериспытания + внутренний Red Team | → TLPT при наличии регуляторного требования | → Регулярные циклы раз в 3 года + Purple Teaming |
Критерий не ощущение, а факт. С 1 на 2: проведена инвентаризация всех активов, закрыты все порты кроме необходимых, внедрена MFA на критичных системах, патчи применяются по расписанию. С 2 на 3: последние два пентеста не нашли ничего критического, есть работающий SOC или MDR с SLA. С 3 на 4: BAS показывает покрытие детектов выше 70% по топ-20 техникам MITRE ATT&CK, есть процесс обработки уязвимостей с SLA. С 4 на 5: Bug Bounty работает более года, исследователи с трудом находят что-то выше Medium, есть внутренний Red Team.
По данным Standoff Bug Bounty за 2025 год: средняя выплата за принятый отчёт — 65 тыс. рублей (рост 12% к 2024 году). Максимальная выплата за одну уязвимость — 4,97 млн рублей. 43 исследователя за год заработали более 1 млн рублей. На BI.ZONE Bug Bounty общие выплаты за 2024 год составили 64 млн рублей.
Для корпоративных и SaaS-платформ средняя выплата превышает 115 тыс. рублей, каждая десятая выплата — более 283 тыс. рублей. Минимальный порог входа — от 30 тыс. рублей за уязвимость среднего уровня.
Площадки: Standoff Bug Bounty, BI.ZONE Bug Bounty.
Две основные площадки: Standoff 365 (Positive Technologies) и BI.ZONE Bug Bounty. Методику кибериспытаний стандартизирует АО «Кибериспытание» (Cyberfy) — они аккредитовали обе площадки.
Пример: Т-Банк объявил кибериспытания с призовым фондом 50 млн рублей и выплатой до 12 млн за одно НС на живой инфраструктуре.
Важно: часть компаний на Standoff — это переупакованный Bug Bounty с фокусом на НС, а не полноценные кибериспытания топ-уровня. Смотрите на масштаб бизнеса и реальный призовой фонд программы.
Purple Teaming — это совместный разбор атаки Red Team и Blue Team после завершения испытаний. Red Team показывает каждый шаг: как зашли, где закрепились, как двигались. Blue Team разбирает: что заметили, что пропустили и почему.
Это не отдельное мероприятие, а финальная фаза TLPT. По регламенту DORA — обязательная. По TIBER-EU — рекомендованная. Без Purple Teaming испытание превращается в дорогой отчёт, из которого непонятно что именно улучшать в детектах и процессах реагирования.
Да, и это правильно. BAS и Bug Bounty решают разные задачи и не мешают друг другу. BAS — это автоматика для Blue Team, работает непрерывно и проверяет детекты. Bug Bounty — это люди, которые ищут логические уязвимости и баги в бизнес-логике, которые автоматика не найдёт.
Типичная зрелая комбинация на уровне 4: пентест раз в полгода + BAS непрерывно + Bug Bounty параллельно. На уровне 5 добавляется внутренний Red Team и кибериспытания раз в год.
Формально TLPT по DORA и TIBER-EU — требование для европейских финансовых организаций, в России обязательного регуляторного аналога пока нет. Но технически услугу оказывают: Positive Technologies, BI.ZONE, F6 (бывший Group-IB) — все имеют команды для advanced Red Team с элементами Threat Intelligence.
ЦБ РФ смотрит на DORA как на ориентир. Вероятно, в ближайшие 3–5 лет появится российский аналог требования для системно значимых банков. CISO крупных финансовых организаций уже сейчас проводят испытания в духе TLPT добровольно — в первую очередь те, у кого есть европейские дочерние структуры.
Последствия наступают быстро и на нескольких уровнях одновременно.
Репутация в сообществе. Сообщество багхантеров в России небольшое и хорошо связанное. Информация о недобросовестном вендоре расходится за дни. Один исследователь который не получил деньги — это минимум несколько десятков коллег которые больше не придут на вашу программу. Лучшие специалисты, которые находят критические уязвимости, уйдут на программы где платят честно. Останутся только начинающие, которые присылают дубли и низкокачественные отчёты.
Публичность. Исследователи документируют отказы публично — на Хабре, в Telegram-каналах, на профильных форумах. Известен случай когда после публикации статьи об игнорировании уязвимостей вендором исследователю удалили аккаунты на платформе — что только усилило публичный резонанс. Такие истории индексируются и живут годами.
Качество безопасности. Если исследователь нашёл уязвимость и не получил вознаграждение, у него нет стимула хранить информацию. Он может продать её на закрытых рынках или передать тем, кто заплатит. Вендор который не платит белым хакерам фактически финансирует чёрный рынок своих же уязвимостей.
Что делать вместо этого. Установите чёткий SLA: подтверждение отчёта в течение 3 рабочих дней, обновление статуса раз в неделю. Не практикуйте выплату «после устранения уязвимости» без фиксированного срока — это воспринимается как уклонение. Если уязвимость по вашей оценке стоит меньше ожиданий исследователя — объясняйте критерии оценки публично и прозрачно. Хорошая репутация вендора стоит дороже сэкономленных выплат.