Pentest, сканер уязвимостей, анализ кода или ASM: что выбирать бизнесу и в каком порядке

Когда каждый инструмент защиты превращается из инвестиции в статью расходов, а неправильная последовательность даёт ложное чувство безопасности

Почему бизнес путается в инструментах ИБ и платит за это

Руководители ИТ и ИБ-директора часто сталкиваются с одним и тем же вопросом: "Нам нужно провести пентест или купить сканер?" Поставщики услуг предлагают каждый своё, регуляторы требуют своё, а злоумышленники атакуют вне зависимости от того, какой инструмент компания использует.

В России контекст стал острее. По данным Positive Technologies, число атак на российские компании в 2026 году вырастет на 30–35% [3]. По оценке BI.ZONE, объём рынка пентестинга в России в 2025 году составляет около 3–4 миллиардов рублей и продолжает расти [4]. Только 4% российских компаний не имеют серьёзных уязвимостей в системах информационной безопасности [5]. Это означает: проблема не в отсутствии угроз, а в том, что большинство компаний либо ещё не знают своих уязвимостей, либо знают, но не приоритизируют их устранение.

При этом регуляторная нагрузка резко выросла. С 30 мая 2025 года максимальный штраф за утечку персональных данных достигает 500 миллионов рублей при массовых инцидентах, а при повторных нарушениях возможен оборотный штраф в размере 1–3% от годовой выручки, но не менее 20 миллионов рублей [1]. Параллельно от банков, НКО и операторов КИИ требуют плановых пентестов, анализа защищённости, сертификации СЗИ.

Эта статья — практический навигатор для принятия решений: какой инструмент что даёт, когда его применять и в какой последовательности строить программу защиты.

Часть 1. Четыре инструмента: что за ними стоит

Сканер уязвимостей (Vulnerability Scanner / VM)

Сканер уязвимостей — это автоматизированный инструмент, который проверяет хосты, сервисы и приложения на наличие известных CVE (Common Vulnerabilities and Exposures). Он не пытается эксплуатировать уязвимость, а лишь обнаруживает её сигнатуру: версию ПО, конфигурацию, открытые порты.

Как это работает: инструмент отправляет пакеты и HTTP-запросы к цели, анализирует ответы и сопоставляет их с базами уязвимостей — NVD, БДУ ФСТЭК, CVE Details. Результат — перечень уязвимостей с оценкой по шкале CVSS.

Что сканер умеет хорошо:

1. Быстро покрыть всю известную инфраструктуру — сотни хостов за часы.
2. Давать воспроизводимый результат: запустили снова после патчинга — получили подтверждение.
3. Обнаруживать известное устаревшее ПО, небезопасные конфигурации, открытые порты административных интерфейсов.
4. Готовить отчёт для регуляторов (ФСТЭК, ЦБ РФ требуют документально подтверждённого процесса управления уязвимостями).

Что сканер не умеет: обнаруживать бизнес-логику уязвимостей, эксплуатировать цепочки слабостей, видеть неизвестные (0-day) уязвимости, понимать контекст данных [6].

Приоритизация по CVSS: ФСТЭК России разработала собственную методику оценки критичности уязвимостей, основанную на CVSS с поправочными коэффициентами для инфраструктурного контекста [7]. По данным экспертов, 55,9% всех уязвимостей в базе БДУ ФСТЭК имеют критическую или высокую степень опасности, что ведёт к "параличу данных" — когда всё кажется критичным, реальная приоритизация не работает [8]. Поэтому приоритизация должна учитывать не только CVSS, но и наличие публичного эксплойта (EPSS), критичность актива для бизнеса и доступность из интернета [9].

Российский рынок сканеров: Positive Technologies в конце 2025 года выпустила XSpider PRO — сканер уязвимостей для малого и среднего бизнеса с инфраструктурой до 500 хостов [10]. Он работает в двух режимах: "чёрный ящик" (внешний периметр) и "белый ящик" (системные проверки, Docker). Среди других игроков — MaxPatrol VM (Positive Technologies), ScanFactory, RedCheck (АЛТЭКС-СОФТ, входит в реестр российского ПО).

Пентест (Penetration Testing)

Пентест — это авторизованная имитация действий злоумышленника, проводимая специалистом вручную (часто с использованием автоматизированных инструментов), с целью проверить, можно ли реально проникнуть в систему и нанести бизнес-ущерб.

В отличие от сканера, пентестер не просто находит уязвимость — он пытается её эксплуатировать, строить цепочки атак (lateral movement), обходить защитные механизмы. Именно поэтому пентест выявляет то, что автоматика пропускает: бизнес-логику, кастомные уязвимости, социальную инженерию, ошибки конфигурации сложных систем.

Форматы пентеста:

1. Внешний пентест — атака на внешний периметр без доступа к внутренней документации (Black Box).
2. Внутренний пентест — с позиции инсайдера или уже проникшего злоумышленника (Grey/White Box).
3. Социотехнический пентест — фишинг, звонки, тестирование осведомлённости сотрудников.
4. Red Team — расширенная операция с полной имитацией APT-атаки, длится месяцами.

По данным МегаФон ПроБизнес, в первом полугодии 2025 года доля проектов по внешнему тестированию составила 68%, что на 48% больше аналогичного периода 2024 года [11]. Типичная последовательность пентестов в компаниях: сначала внешний, затем социотехнический, затем внутренний [12].

Стоимость в России: по состоянию на ноябрь 2025 года пентест в финтехе стартует от 1 миллиона рублей за базовые работы и достигает десятков и сотен миллионов рублей за комплексный Red Team [13]. Базовое сканирование внешнего периметра — от 50 до 300 тыс. рублей [11]. Стоимость зависит от зрелости ИБ-процессов компании: чем зрелее — тем сложнее и дороже нужная модель злоумышленника [14].

Регуляторные требования в России: в РФ проведение пентеста требуется по Положениям ЦБ РФ 851-П, 821-П и 757-П. Положение № 851-П, вступившее в силу с 29 марта 2025 года, обязывает кредитные организации проводить ежегодный пентест и анализ уязвимостей [2]. Для значимых объектов КИИ пентест также входит в требования по безопасности.

Ключевое ограничение: пентест — это снимок состояния защищённости на конкретный момент времени. Через неделю после чистого пентест-отчёта новое обновление, новый сервис или новая интеграция могут создать критическую уязвимость — и до следующего пентеста никто об этом не узнает [15].

Анализ кода (Secure Code Review / SAST)

Анализ кода применяется на этапе разработки: до того как приложение ушло в продакшн. Это единственный способ поймать уязвимость "у источника" и устранить её на том этапе, когда это стоит минимум ресурсов. Согласно общепринятой модели "shift-left", стоимость устранения уязвимости на этапе разработки в 10–100 раз ниже, чем после выпуска [16].

Два основных формата:

1. SAST (Static Application Security Testing) — автоматизированный анализ исходного кода без запуска приложения. Инструменты: Checkmarx, Fortify, Veracode, PVS-Studio, SonarQube, Snyk. SAST хорошо находит SQL-инъекции, XSS, небезопасную работу с криптографией, известные паттерны небезопасного кодирования [17].
2. Ручное secure code review — эксперт-пентестер анализирует логику кода, бизнес-процессы, кастомные библиотеки. Это то, что SAST пропустит: ошибки авторизации, логические уязвимости, нестандартные архитектурные решения [18].

Главная проблема SAST: высокий процент ложноположительных срабатываний — по данным разных оценок, от 30 до 70% [19]. Это создаёт "усталость от алертов" у разработчиков и снижает эффективность инструмента, если не настроен правильно. Сканирование нескольких языков требует нескольких инструментов, а микросервисная архитектура добавляет сложности [20].

Куда встраивать в SDLC:

1. В IDE — мгновенная обратная связь в момент написания кода.
2. В pull request — блокировка слияния при обнаружении уязвимостей выше заданного порога.
3. В CI/CD pipeline — автоматическая проверка каждой сборки.
4. Ручной ревью перед major release — для критичных и сложных компонентов.

По данным Veracode, 97,4% из 85 000 проверенных приложений содержали неустранённые уязвимости в сторонних библиотеках, при этом около 75% из них закрываются простым обновлением зависимостей [21]. Это подчёркивает важность SCA (Software Composition Analysis) в дополнение к SAST.

ASM (Attack Surface Management)

ASM — это непрерывный автоматизированный процесс обнаружения, инвентаризации и оценки всех внешних цифровых активов организации. В отличие от сканера уязвимостей, который требует заранее задать область проверки (scope), ASM работает "от хакера": он сам обнаруживает то, что видит из интернета, — включая теневые IT, забытые поддомены, облачные ресурсы, IP-адреса, SSL-сертификаты.

Что видит ASM: все домены, поддомены, IP-адреса, открытые сервисы и порты, уязвимости во внешних активах, утечки учётных данных в даркнете, небезопасные конфигурации SPF/DMARC, упоминания в андеграундных форумах, SSL-сертификаты и их статус [22].

Чем ASM отличается от пентеста: ASM — это непрерывное наблюдение, пентест — разовая глубокая проверка. ASM не эксплуатирует уязвимости, только обнаруживает. Пентест требует определить scope, ASM scope определяет сам [15]. Пентест — дорогой и требует планирования, ASM работает 24/7 в фоновом режиме.

Российский рынок ASM: F6 (бывш. F.A.C.C.T.) внесла Attack Surface Management в реестр российского ПО (рег. № 27441, 11.04.2025) [22]. По данным исследования F6 начала 2026 года, в среднем в цифровом периметре российских компаний выявляется 425 критических проблем, самые частые — небезопасная конфигурация сервера и устаревшее ПО [3]. В 2025 году наметился тренд: переход от отдельных инструментов к комплексным EASM-решениям, которые покрывают не только внешний периметр, но и цепочку поставок [23].

Пример ценообразования: F6 ASM стартует от 500 000 рублей в год в зависимости от числа внешних активов (доменов, поддоменов, IP-адресов, SSL-сертификатов) [22].

Часть 2. Чем инструменты различаются: системный взгляд

Ключевое различие четырёх инструментов лежит в трёх измерениях: что они находят, когда применяются и как соотносятся с бизнес-рисками.

По охвату:

1. ASM — самый широкий: обнаруживает то, о чём сама компания может не знать (теневые IT, забытые сервисы).
2. Vulnerability Scanner — покрывает известную инфраструктуру по заданному scope.
3. Пентест — глубокий, но узкий: проверяет конкретные системы, которые заранее согласованы.
4. Code Review (SAST) — охватывает только исходный код, не видит инфраструктуру.

По времени применения:

1. Code Review/SAST — на этапе разработки, до деплоя.
2. Vulnerability Scanner — в продакшне, периодически (еженедельно/ежемесячно).
3. ASM — непрерывно, в режиме реального времени.
4. Пентест — разово или 1–4 раза в год.

По глубине:

1. ASM — поверхностная, автоматическая, но непрерывная.
2. Vulnerability Scanner — средняя, автоматическая.
3. Пентест — максимальная глубина, ручная эксплуатация, цепочки атак.
4. Code Review — зависит от формата: SAST — поверхностный, ручной ревью — глубокий.

По стоимости ложного спокойствия: это самый важный параметр. Если компания провела пентест год назад, а за это время появились новые сервисы, поддомены и интеграции — отчёт недействителен. ASM закрывает этот пробел: он постоянно обновляет картину. Именно поэтому ASM называют "разведкой перед пентестом" — он определяет, что именно тестировать [24].

Наглядная параллель с физической безопасностью: ASM — это видеонаблюдение по периметру (работает постоянно, охватывает всё), сканер уязвимостей — ежемесячный обход охраны (проверяет известные входы), пентест — имитация ограбления нанятыми профессиональными взломщиками (глубокая проверка конкретных точек), code review — проверка чертежей здания до его постройки (ловит уязвимости в архитектуре).

Часть 3. В каком порядке выстраивать защиту

Уровень 1: компания без ИБ-процессов (начальная зрелость)

Признаки: нет выделенного ИБ-специалиста, нет инвентаризации активов, нет регулярных проверок.

Что делать:

1. Начать с инвентаризации: вы не можете защитить то, чего не знаете. ASM или ручная инвентаризация всего внешнего периметра.
2. Запустить сканер уязвимостей: даже базовое сканирование внешнего периметра (50–300 тыс. руб.) выявит самые очевидные дыры.
3. Закрыть критичные уязвимости: патчинг, обновления, отключение лишних сервисов.
4. Только потом — пентест: заказывать его раньше бессмысленно — пентестер потратит бюджет на то, что сканер нашёл бы за копейки [14].

Типичная ошибка: заказать "модный" Red Team, не имея даже базовой инвентаризации. Это то же самое, что нанять элитного охранника охранять склад, в котором нет замков.

Уровень 2: компания с базовыми ИБ-процессами (средняя зрелость)

Признаки: есть 1–2 ИБ-специалиста, проводится хотя бы один аудит в год, используется антивирус и базовый firewall.

Что добавить:

1. ASM в постоянном режиме: новые поддомены и сервисы появляются быстро, нужен непрерывный мониторинг.
2. Регулярный Vulnerability Scan: не реже 1 раза в месяц для внешнего периметра, 1 раз в квартал для внутренней сети.
3. Годовой пентест: после закрытия наиболее критичных уязвимостей — заказать внешний пентест по методологии Black Box.
4. Если компания разрабатывает ПО — ввести SAST в CI/CD.

Уровень 3: зрелая ИБ-программа

Признаки: выделенная ИБ-служба, регулярные пентесты, процесс управления уязвимостями, требования регуляторов.

Полная программа:

1. ASM — непрерывно, с интеграцией в SOC.
2. Vulnerability Management — автоматизированное сканирование + приоритизация по методике ФСТЭК/CVSS/EPSS.
3. Secure SDLC — SAST в CI/CD, ручной code review для критичных компонентов, SCA для сторонних зависимостей.
4. Пентест — 2–4 раза в год (внешний, внутренний, социотехнический) с нарастающей моделью злоумышленника.
5. Red Team — для проверки зрелых защитных процессов, ежегодно или при крупных изменениях архитектуры.
6. PTaaS (Pentest-as-a-Service) — для непрерывного пентест-покрытия критичных приложений.

Часть 4. Регуляторный контекст в России

Требования ФСТЭК России

ФСТЭК регулирует управление уязвимостями через три ключевых документа: Приказ № 17 (ГИС), Приказ № 21 (ИСПДн), Приказ № 239 (КИИ). Дополнительно Методический документ от 17 мая 2023 года закрепляет цикл работ по VM: инвентаризация, сканирование, приоритизация по методике ФСТЭК, устранение, проверка [7]. ФСТЭК разработала собственный сканер ScanOVAL для обнаружения уязвимостей на Windows и Linux.

Требования ЦБ РФ

Положение № 851-П (с 29 марта 2025 года) обязывает кредитные организации обеспечить ежегодный пентест и анализ уязвимостей. Положения № 821-П и 757-П распространяются также на некредитные финансовые организации [2]. Это создаёт рынок обязательного пентестинга, который продолжает расти.

Закон о персональных данных (152-ФЗ) и новые штрафы

С 30 мая 2025 года (Федеральный закон от 30.11.2024 № 420-ФЗ) вступили в силу многократно увеличенные штрафы [1]:

1. За утечку ПДн более 100 000 субъектов — от 10 до 15 миллионов рублей.
2. При повторных утечках — оборотный штраф 1–3% годовой выручки, но не менее 20 и не более 500 миллионов рублей.
3. За неуведомление Роскомнадзора об утечке в течение 24 часов — от 1 до 3 миллионов рублей.
4. За нарушение порядка получения согласия на обработку ПДн — юрлицам от 300 до 700 тысяч рублей.

Это означает: для компаний, обрабатывающих персональные данные, регулярный audit защищённости из "желательного" стал "обязательным с точки зрения риск-менеджмента". Сканирование уязвимостей и ASM помогают выявить риски до того, как они приведут к инциденту.

Часть 5. Типичные ошибки и как их избежать

Ошибка 1: пентест без предварительного сканирования

Классическая ситуация: компания заказывает пентест, чтобы "узнать, как всё плохо". Пентестер находит очевидные CVE, которые инструмент обнаружил бы за час. Бюджет в 1–5 миллионов рублей потрачен на то, что стоит 50–100 тысяч [14]. Правило: запустите сканер, устраните критичные уязвимости, и только после этого приглашайте пентестеров для поиска того, что автоматика не видит.

Ошибка 2: годовой пентест как единственная мера защиты

ИТ-ландшафт меняется непрерывно. Новые сервисы, поддомены, интеграции появляются быстрее, чем раз в год. Пентест даёт срез на один день — и уже через неделю картина может кардинально измениться [15]. ASM закрывает это "окно слепоты".

Ошибка 3: SAST как замена пентесту приложения

SAST отлично ловит известные паттерны уязвимостей в коде. Но он не видит уязвимости бизнес-логики, авторизации, интеграционные проблемы. Пентест приложения (DAST + ручная проверка) остаётся необходимым перед выпуском критичных сервисов [21].

Ошибка 4: игнорирование false positive в SAST

Традиционные SAST-инструменты генерируют 30–70% ложноположительных срабатываний [19]. Команда разработки начинает игнорировать алерты — и пропускает реальные уязвимости. Решение: тонкая настройка правил, использование современных инструментов с низким уровнем false positive, обязательный ручной триаж критичных находок.

Ошибка 5: ASM только для обнаружения, но не для устранения

По данным эксперта F6, "у клиентов были инструменты для сканирования уязвимостей, но критические дыры месяцами висели нетронутыми. Причина — паралич данных и отсутствие контекста" [25]. Инструмент без процесса устранения не уменьшает риски. Нужна интеграция ASM/сканера с тикет-системой и закреплённые владельцы за каждый актив.

Ошибка 6: не разграничивать зрелость ИБ и выбор инструментов

Незрелой компании не нужен Red Team стоимостью в десятки миллионов. Им нужен сканер и базовый пентест по модели "школьника". И наоборот: компании с зрелым ИБ-процессом базовый сканер даст слишком мало — им нужна модель APT [14].

Часть 6. Случаи из практики

Когда ASM выявил то, о чём компания не знала

По данным компании F6, при сканировании цифрового периметра российских компаний в начале 2026 года среднее число критических проблем составило 425 на одну организацию [3]. Типичная находка: забытый поддомен с устаревшим ПО, о котором IT-команда не знала, — популярная точка входа для атакующих.

Когда пентест спас от реального ущерба

По данным из практики 2025 года: финансовая организация в результате комплексного пентеста обнаружила критическую уязвимость в блокчейн-системе, которая могла привести к несанкционированному доступу к данным транзакций. Потенциальный ущерб оценён в более 100 миллионов рублей [26].

Когда фишинговый тест обнажил реальную слабость

По данным МегаФон, в среднем 23% сотрудников среднего бизнеса переходят по вредоносной ссылке при социотехническом тестировании, а 13% вводят свои учётные данные [11]. Это означает: технические средства защиты могут быть настроены идеально, но человеческий фактор остаётся главным вектором атаки.

Часть 7. Тренды и будущее

Convergence: ASM + VM + Pentest в единой платформе

Мировой и российский рынки движутся от отдельных инструментов к комплексным CTEM-платформам (Continuous Threat Exposure Management). CTEM объединяет обнаружение активов, сканирование уязвимостей, приоритизацию и валидацию в едином контуре [23]. В России этот тренд ещё только формируется: F6 интегрировала ASM в MDR-сервис, создав цикл "обнаружение → мониторинг → реагирование" [25].

AI-assisted SAST и генеративный анализ кода

Появление LLM-based инструментов анализа кода меняет уравнение. По мнению практикующего пентестера и исследователя Joshua Rogers, AI-based SAST инструменты способны обнаруживать сложные логические уязвимости, которые традиционные анализаторы пропускают: ошибки в бизнес-логике, несоответствие архитектурных предположений реализации [27]. При этом они недетерминированы: каждый прогон может дать разный результат, что одновременно является их силой (находят разное) и слабостью (сложно воспроизвести).

PTaaS: пентест как непрерывный сервис

Penetration Testing as a Service становится стандартом для DevSecOps-команд. Вместо разовых ежегодных проектов — подписка на постоянное тестирование с ежемесячными скан-сессиями и командой инженеров, которые валидируют критичные находки [24].

Регуляторное давление продолжит расти

Ужесточение 152-ФЗ с 30 мая 2025 года — не конечная точка. В России продолжается формирование нормативной базы для пентестеров (в 2024 году принят законопроект о легализации деятельности пентестеров) [5]. Требования КИИ, обновлённое Положение ЦБ № 851-П, введение оборотных штрафов — всё это создаёт устойчивый регуляторный спрос на комплексные программы оценки защищённости.

Часть 8. Практический чек-лист: с чего начать

Для тех, кто только выстраивает программу ИБ:

1. Составить инвентарь внешних активов: домены, поддомены, IP, открытые сервисы.
2. Запустить первичное сканирование внешнего периметра (сканер или ASM).
3. Закрыть все критичные уязвимости (CVSS ≥ 9.0) на интернет-доступных системах — в первую очередь.
4. Убедиться, что устаревшее ПО обновлено или изолировано.
5. Оценить, есть ли у компании собственная разработка — если да, ввести SAST в pipeline.
6. Заказать внешний пентест — после закрытия базовых уязвимостей.
7. Внедрить процесс непрерывного мониторинга (ASM или повторяемое сканирование).
8. Отработать процедуру реагирования на инцидент с утечкой ПДн: кто уведомляет РКН за 24 часа, кто ведёт расследование за 72 часа.

Для проверки регуляторной готовности:

1. Проверить, нужен ли обязательный пентест (ЦБ 851-П, КИИ).
2. Убедиться, что есть задокументированный процесс управления уязвимостями (требование ФСТЭК).
3. Убедиться в наличии процессов уведомления РКН при утечках (152-ФЗ).
4. Проверить, что сканер уязвимостей входит в реестр российского ПО (при работе с ГИС и КИИ).

Заключение: правильный порядок — это процесс, а не разовое событие

Главный вывод из всего сказанного: выбор между пентестом, сканером, ASM и code review — это не вопрос "что лучше". Это вопрос о том, на каком этапе зрелости находится ваша компания и что даст максимальный возврат на инвестиции прямо сейчас.

Практическое правило последовательности: сначала узнайте, что у вас есть (инвентаризация через ASM или вручную). Затем найдите известные уязвимости в том, что знаете (сканер). Параллельно закройте уязвимости в коде, который пишете (SAST). И только после этого приглашайте пентестеров — проверить, выдержит ли ваша защита умного противника.

Российский регуляторный контекст добавляет срочности: штрафы выросли в десятки раз, требования к КИИ и финансовому сектору ужесточились. Компании, которые продолжают рассматривать ИБ как разовую статью расходов, а не как непрерывный процесс, будут платить — либо злоумышленникам, либо регуляторам.

Персональные данные под контролем: «Пятый фактор»

Отдельная и нередко недооценённая часть ИБ-программы — контроль персональных данных внутри корпоративных систем. Все инструменты, описанные в статье, проверяют внешний периметр, уязвимости в коде и инфраструктуре. Но ни пентест, ни ASM не ответят на вопрос: "А где именно в наших системах хранятся ПДн, кто владелец этих данных и изменился ли состав полей за последние три месяца?"

Этот вопрос становится критичным в свете 152-ФЗ и оборотных штрафов с 30 мая 2025 года: чтобы не допустить утечки, нужно сначала знать, где данные лежат.

Платформа «Пятый фактор» (5factor.ru) решает именно эту задачу: автоматическое обнаружение, инвентаризация и контроль персональных данных в корпоративных системах — базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Ключевая особенность: платформа работает на периметре клиента (on-prem), использует только метаданные, структуру и агрегаты — без передачи и хранения сырых ПДн. Это означает, что сама система не становится источником риска утечки.

В результате компании получают живую "карту ПДн" — где и какие данные есть, кто их владелец, что изменилось, — и видят новые риски (новые поля, новые интеграции, новые источники) до того, как они превратились в инцидент. Это именно тот непрерывный контроль, о котором говорит вся логика этой статьи: не разовый аудит, а постоянный процесс.

Источники

[1] Арбитраж-Практика — Штрафы за персональные данные с 30 мая 2025 года — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[2] RTM Group — Пентест, заказать услуги; Положения ЦБ РФ 851-П, 821-П, 757-П — https://rtmtech.ru/services/pentest/

[3] Forbes — F6 оценила уровень защищённости инфраструктуры российских компаний — https://www.forbes.ru/tekhnologii/555315-f6-ocenila-uroven-zasisennosti-infrastruktury-rossijskih-kompanij

[4] SecPost — Сколько стоит пентест и как выбрать правильных хакеров (данные BI.ZONE) — https://secpost.ru/do-100-mln-rublej-za-poisk-bagov-i-rost-rynka-v-20-kakih-pentesterov-ishhut-vendory

[5] EC-RS — Состояние и перспективы рынка пентестинга в России — https://www.ec-rs.ru/blog/pentest/sostoyanie-i-perspektivy-rynka-pentestinga-v-rossii/

[6] Fortinet — Vulnerability Scanning vs. Penetration Testing — https://www.fortinet.com/resources/cyberglossary/vulnerability-scanning-compare

[7] IT-Sec.ru — Управление уязвимостями: ожидание — реальность и рекомендации (ФСТЭК, Методический документ от 17.05.2023) — https://www.itsec.ru/articles/upravlenie-uyazvimostyami-ozhidanie-realnost-i-rekomendacii

[8] Rezbez.ru — Что делать, когда все уязвимости одинаково опасны (CVSS vs ФСТЭК vs EPSS) — https://rezbez.ru/reviews/chto-delat-kogda-vse-uyazvimosti-odinakovo-opasny

[9] CISOClub — Управление уязвимостями в кибербезопасности: методы, автоматизация и приоритизация — https://cisoclub.ru/upravlenie-ujazvimostjami/

[10] CNews — Positive Technologies представила сканер уязвимостей нового поколения XSpider PRO — https://safe.cnews.ru/news/line/2025-12-03_positive_technologies_predstavila

[11] МегаФон ПроБизнес — Как «Пентест» от МегаФона помогает бизнесу предотвратить утечки данных — https://tech.megafon.ru/information/kak-pentest-ot-megafona-pomogaet-biznesu-predotvratit-utechki-dannyh

[12] SecurityMedia — Пентест: слабости в обороне компаний — https://securitymedia.org/info/testirovanie-na-proniknovenie-slabosti-v-oborone-kompaniy-kotorye-aktualny-v-2022-godu.html

[13] SecPost — Ценообразование пентестов: от чего зависит — https://secpost.ru/do-100-mln-rublej-za-poisk-bagov-i-rost-rynka-v-20-kakih-pentesterov-ishhut-vendory

[14] Anti-Malware.ru — Ценообразование пентестов: от чего зависит и как складывается — https://www.anti-malware.ru/analytics/Market_Analysis/Pentest-pricing

[15] Ceeyu.io — Penetration testing versus Attack Surface Management — https://www.ceeyu.io/resources/blog/attack-surface-management-or-penetration-testing

[16] Microsoft Learn — Стратегии архитектуры для защиты жизненного цикла разработки (SDLC) — https://learn.microsoft.com/ru-ru/azure/well-architected/security/secure-development-lifecycle

[17] CircleCI — SAST vs DAST: When to Use Them — https://circleci.com/blog/sast-vs-dast-when-to-use-them/

[18] Cobalt.io — Introduction to Secure Code Review — https://www.cobalt.io/learning-center/introduction-to-secure-code-review

[19] Offensive360 — SAST vs DAST vs Penetration Testing: What Each Finds — https://offensive360.com/blog/dast-vs-penetration-testing/

[20] Traceable.ai — Does SAST Deliver? The Challenges of Code Scanning — https://www.traceable.ai/blog-post/does-sast-deliver-the-challenges-of-code-scanning

[21] Veracode — Defense in Depth: Why You Need DAST, SAST, SCA, and Pen Testing — https://www.veracode.com/blog/managing-appsec/defense-depth-why-you-need-dast-sast-sca-and-pen-testing

[22] F6 — Attack Surface Management — https://www.f6.ru/products/attack-surface-management/

[23] PlusWorld — Обзор трендов кибербезопасности 2025 года (переход к EASM) — https://plusworld.ru/articles/62294/

[24] Bureau Veritas — Attack Surface Management for Better Penetration Testing — https://cybersecurity.bureauveritas.com/services/information-technology/ptaas-pentesting-as-a-service/why-asm-improves-penetration-testing

[25] IT-Sec.ru — От нейтрализации атак к их предотвращению (F6 ASM + MDR) — https://www.itsec.ru/articles/ot-nejtralizacii-k-predotvrashcheniyu

[26] INNER.su — Таблица проведения пентестов 2025 — https://inner.su/articles/tablitsa-provedeniya-pentestov-2025-metodiki-instrumenty-periodichnost/

[27] Joshua Rogers — Hacking with AI SASTs: An overview of LLM Security Scanners — https://joshua.hu/llm-engineer-review-sast-security-ai-tools-pentesters