Ландшафт угроз глазами пентестеров Angara Security: итоги 2025 года

Эксперты отдела анализа защищенности Angara Security проанализировали портфель проектов по тестированию на проникновение за 2025 г. Главный вывод: при значительном прогрессе в защите внешних контуров, внутренняя инфраструктура компаний по-прежнему крайне уязвима. В 9 из 10 проектов специалистам удалось получить привилегии администратора домена Active Directory. Об этом CNews сообщили представители Angara Security.

Основными заказчиками выступили компании из секторов «Финансы и финтех», «Телеком и ИТ», а также крупные коммерческие организации, ритейлеры и промышленные предприятия. При этом замечен ежегодный рост зрелости ИБ в финансовом и телеком-секторах, что напрямую усложняет задачи пентестеров и требует от специалистов нестандартного, творческого подхода.

В 2025 г. заказчики все чаще отдавали предпочтение комплексным проектам, доля которых составила 51%. В тройку лидеров по видам услуг вошли: внешний пентест — 47% (базовая проверка периметра), внутренний пентест — 27% (имитация действий нарушителя внутри сети), анализ веб-приложений — 17%. При этом эксперты Angara Security обращают внимание на важный нюанс: заказчики нередко ограничиваются поверхностной проверкой веб-приложений в рамках внешнего пентеста. Это создает иллюзию безопасности, так как сложные логические уязвимости (IDOR, ошибки авторизации) веб-приложений при таком подходе могут остаться невыявленными.

В 90% случаев пробить внешний периметр сугубо техническими методами не удалось — это подтверждает высокий уровень защищенности границ сетей. «Успешные кейсы на внешнем контуре были связаны не с супер-техниками взлома, а с классикой: невнимательностью администраторов, забытыми сервисами и ошибками конфигурации. Компрометация учетных данных (Password Spraying, OSINT) и доступ через VPN остаются самыми действенными векторами», — сказал Максим Каширин, руководитель отдела анализа защищенности Angara Security.

Внутри сетей ситуация кардинально иная. Несмотря на рост зрелости инфраструктур, низкий уровень защищенности внутреннего сегмента позволяет пентестерам (а значит, и реальным злоумышленникам) практически гарантированно достигать своих целей. В 70% проектов получены права администратора домена. Лишь в 7% случаев не удалось повысить привилегии. В топ уязвимостей внутри контура вошли: отсутствие подписи (signing) для протоколов LDAP и SMB, нестойкие пароли (в том числе у администраторов и сервисов), Kerberoasting с восстановлением паролей, а также ошибки конфигурации ADCS (службы сертификации Active Directory). Особого внимания заслуживают беспроводные сети: Wi-Fi остается одним из критичных каналов утечки и несанкционированного доступа к корпоративным сетям.

В Angara Security прогнозируют дальнейшее усложнение пентестов. Заказчики все чаще хотят не просто «стандартных» проверок, а реальной оценки защищенности, в том числе эффективности реагирования внедренных средств защиты. Это неизбежно повышает требования к квалификации экспертов и качеству взаимодействия в ходе проектов.