Новое исследование рынка 2026 года, в котором приняли участие 128 руководителей, принимающих решения в области корпоративной безопасности, выявило отчетливый разрыв между организациями. Он почти не связан с размером бюджета или отраслью и практически полностью определяется тем, внедряет ли компания подход Continuous Threat Exposure Management (CTEM). Компании, уже перешедшие на CTEM, демонстрируют на 50% лучшую видимость поверхности атаки, на 23 процентных пункта более высокое принятие средств защиты и более зрелую осведомленность об угрозах по всем измерениям.
Кто участвовал в исследовании и чем выделяются лидеры
В выборку вошли преимущественно старшие специалисты: 85% респондентов занимают должности уровня Manager и выше, причем 66% представляют крупные организации с численностью более 5000 сотрудников. Опрос охватывал ключевые секторы — финансы, здравоохранение и розничную торговлю, где регуляторное давление и стоимость простоя бизнеса особенно высоки.
По данным отчета, лишь 16% компаний уже внедрили CTEM, тогда как 84% продолжают опираться на традиционные, фрагментарные модели управления уязвимостями и рисками. При этом 87% руководителей службы безопасности признают важность CTEM. Таким образом, формируется парадокс: осведомленность высока, но до реальной операционной трансформации доходят единицы.
Что такое CTEM и чем он отличается от «патчить все подряд»
CTEM — это не еще один инструмент, а рамочный подход к непрерывному управлению киберэкспозициями. Он предполагает переход от реактивной модели «закрывать все уязвимости по мере обнаружения» к циклу:
постоянно обнаруживать все элементы поверхности атаки (домены, облачные ресурсы, веб‑скрипты, сторонние компоненты), проверять и валидировать реальные векторы атаки и приоритизировать только те экспозиции, которые способны нанести бизнесу ощутимый ущерб.
В аналитике Gartner CTEM рассматривается как эволюция управления уязвимостями и рисками, позволяющая добиться устойчиво более сильных результатов по безопасности по сравнению с традиционными подходами, основанными на периодических сканированиях и точечных проектах по «заделыванию дыр».
Почему осведомленность о CTEM не превращается во внедрение
Разрыв между пониманием концепции и ее реализацией отражает ключевую дилемму современной кибербезопасности: какой приоритет считать главным здесь и сейчас. Руководители по безопасности часто сталкиваются с:
инерцией процессов и устоявшейся ИТ‑архитектуры; конкурирующими инициативами цифровой трансформации; жесткими бюджетными рамками, где приходится выбирать между закрытием срочных инцидентов и построением системного, непрерывного управления рисками.
Дополнительное давление создают внешние факторы. 91% CISO фиксируют рост инцидентов, связанных с третьими сторонами, а средняя стоимость нарушения данных, по отраслевым оценкам, достигает около 4,44 млн долларов. Одновременно ужесточаются требования стандартов, таких как PCI DSS 4.0.1, усиливающих требования к мониторингу и отчетности. В результате управление поверхностью атаки превращается в тему не только для ИБ‑подразделения, но и для совета директоров.
Сложность поверхности атаки и «разрыв видимости»
Исследование наглядно показывает, что рост цифрового ландшафта компании напрямую увеличивает риск. При количестве доменов от 0 до 10 доля атак составляет примерно 5%. В диапазоне 51–100 доменов этот показатель уже достигает 18%, а после отметки в 100 доменов кривая атак возрастает особенно резко.
Ключевой фактор — так называемый разрыв видимости (visibility gap), то есть разница между активами, за которые компания юридически и операционно отвечает, и активами, о которых она реально знает. Каждый новый домен может подтягивать десятки связанных ресурсов и сторонних скриптов, а совокупное число потенциальных точек входа исчисляется уже тысячами.
По мере роста этого массива ручной учет интеграций, скриптов и зависимостей неизбежно ломается: размывается зона ответственности, появляются «темные» активы, которые никто не мониторит. Точечные «снимки» безопасности (разовые аудиты, периодические сканы) не в состоянии обеспечить актуальную картину. Здесь и проявляется ценность CTEM: только программы, ориентированные на непрерывное обнаружение и валидацию экспозиций, способны своевременно выявлять и закрывать такие слепые зоны до того, как ими воспользуются злоумышленники.
Когда традиционные модели безопасности перестают масштабироваться
Сравнительный анализ участников исследования показывает устойчивую закономерность. Ниже определенного уровня сложности (ограниченное число доменов, простая ИТ‑архитектура) компании еще могут полагаться на периодические контроли и ручное управление. Однако при росте поверхности атаки эти модели перестают масштабироваться: нагрузка на команды ИБ растет быстрее, чем возможности процессов и инструментов.
Организации, внедрившие CTEM, демонстрируют более высокую степень автоматизации, лучшее покрытие активов и более быстрое внедрение защитных решений. По сути, для компаний с высокой сложностью ландшафта вопрос звучит уже не как «нужен ли нам CTEM», а как «может ли текущий подход вообще успевать за динамикой рисков без CTEM».
Практические шаги по переходу к CTEM
Для компаний, осознающих необходимость трансформации, переход к CTEM целесообразно строить поэтапно:
1. Инвентаризация и картирование поверхности атаки. Сбор данных о доменах, облачных и SaaS‑сервисах, внешних веб‑ресурсах, сторонних скриптах и интеграциях.
2. Классификация и бизнес‑контекст. Привязка активов к бизнес‑процессам, данным и владельцам, чтобы оценивать не только техническую, но и бизнес‑критичность экспозиций.
3. Непрерывная валидация рисков. Использование средств моделирования атак, внешнего атакующего анализа и автоматизированных проверок для подтверждения реальной эксплуатации уязвимостей, а не только их теоретического наличия.
4. Приоритизация и оркестрация реагирования. Встраивание CTEM в существующие процессы управления уязвимостями, DevSecOps и реагирования на инциденты, с четкими метриками и отчетностью для топ‑менеджмента.
Для большинства организаций именно такая эволюция — от разрозненных инициатив к целостной CTEM‑программе — становится ключевым фактором снижения киберрисков на фоне растущей цифровой сложности.
Современные данные рынка убедительно показывают: компании, делающие ставку на непрерывное управление экспозициями и управление поверхностью атаки, уже выходят вперед по видимости, скорости реакции и устойчивости к инцидентам. Тем, кто все еще полагается на разовые аудиты и ручной контроль, целесообразно пересмотреть подход, оценить собственный «разрыв видимости» и сформировать дорожную карту внедрения CTEM. Это не просто новый модный термин, а практически необходимый шаг для тех, кто хочет оставаться конкурентоспособным и соответствовать растущим требованиям регуляторов, клиентов и партнеров.
