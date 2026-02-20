CNews Аналитика Конференции Маркет Техника ТВ

Разделы

ПО Безопасность Бизнес Кадры
|

Ландшафт угроз глазами пентестеров Angara Security: итоги 2025 года

Эксперты отдела анализа защищенности Angara Security проанализировали портфель проектов по тестированию на проникновение за 2025 г. Главный вывод: при значительном прогрессе в защите внешних контуров, внутренняя инфраструктура компаний по-прежнему крайне уязвима. В 9 из 10 проектов специалистам удалось получить привилегии администратора домена Active Directory. Об этом CNews сообщили представители Angara Security.

Основными заказчиками выступили компании из секторов «Финансы и финтех», «Телеком и ИТ», а также крупные коммерческие организации, ритейлеры и промышленные предприятия. При этом замечен ежегодный рост зрелости ИБ в финансовом и телеком-секторах, что напрямую усложняет задачи пентестеров и требует от специалистов нестандартного, творческого подхода.

В 2025 г. заказчики все чаще отдавали предпочтение комплексным проектам, доля которых составила 51%. В тройку лидеров по видам услуг вошли: внешний пентест — 47% (базовая проверка периметра), внутренний пентест — 27% (имитация действий нарушителя внутри сети), анализ веб-приложений — 17%. При этом эксперты Angara Security обращают внимание на важный нюанс: заказчики нередко ограничиваются поверхностной проверкой веб-приложений в рамках внешнего пентеста. Это создает иллюзию безопасности, так как сложные логические уязвимости (IDOR, ошибки авторизации) веб-приложений при таком подходе могут остаться невыявленными.

В 90% случаев пробить внешний периметр сугубо техническими методами не удалось — это подтверждает высокий уровень защищенности границ сетей. «Успешные кейсы на внешнем контуре были связаны не с супер-техниками взлома, а с классикой: невнимательностью администраторов, забытыми сервисами и ошибками конфигурации. Компрометация учетных данных (Password Spraying, OSINT) и доступ через VPN остаются самыми действенными векторами», — сказал Максим Каширин, руководитель отдела анализа защищенности Angara Security.

Внутри сетей ситуация кардинально иная. Несмотря на рост зрелости инфраструктур, низкий уровень защищенности внутреннего сегмента позволяет пентестерам (а значит, и реальным злоумышленникам) практически гарантированно достигать своих целей. В 70% проектов получены права администратора домена. Лишь в 7% случаев не удалось повысить привилегии. В топ уязвимостей внутри контура вошли: отсутствие подписи (signing) для протоколов LDAP и SMB, нестойкие пароли (в том числе у администраторов и сервисов), Kerberoasting с восстановлением паролей, а также ошибки конфигурации ADCS (службы сертификации Active Directory). Особого внимания заслуживают беспроводные сети: Wi-Fi остается одним из критичных каналов утечки и несанкционированного доступа к корпоративным сетям.

В Angara Security прогнозируют дальнейшее усложнение пентестов. Заказчики все чаще хотят не просто «стандартных» проверок, а реальной оценки защищенности, в том числе эффективности реагирования внедренных средств защиты. Это неизбежно повышает требования к квалификации экспертов и качеству взаимодействия в ходе проектов.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Сергей Демидов, ИБ-директор Мосбиржи: Российские компании сегодня ограничены в средствах защиты от кибератак

ИИ в облаке Amazon удалил почти весь код, чтобы переписать его с нуля

Как цифровизация идей сотрудников помогает производству экономить миллионы

Глобализация пошла не по плану. Украинца бросили в тюрьму на долгие годы за помощь КНДР в краже данных у США

ИТ-директор Sokolov в интервью CNews о применении ИИ: от проектирования украшений до составления графика продавцов

«Софтлайн» нарастил финансовые показатели и удвоил уровень задолженности

Конференции

Business Process Management 2026

Технологии искусственного интеллекта 2026

Цифровизация HR 2026
Показать еще

CNewsMarket

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

ERP

Подобрать тариф на IP-телефонию и виртуальную АТС

От 1 046 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

Техника

Самые надежные умные часы для сложных условий: выбор ZOOM

Лучшие гаджеты для автомобилистов: выбор ZOOM

Обзор мини-ПК MSI Cubi NUC AI+ 2MG: компактное решение с ИИ-потенциалом

Показать еще

Наука

Почему наступают ледниковые периоды? Ученые назначили козлом отпущения Марс

Новое исследование показывает, что человеческий мозг работает на автопилоте две трети дня

14 000 лет назад волчонок съел кусок шерстистого носорога — это помогло раскрыть тайну вымирания гигантов ледникового периода
Показать еще