Поддержание необходимого уровня защищенности информационных систем остается ключевой задачей для организаций любых масштабов. Традиционные методы, такие как тестирование на проникновение (пентест), позволяют обнаружить уязвимости до их эксплуатации злоумышленниками, однако часто проводятся нерегулярно и не охватывают все векторы атак. Решением этой задачи является использование систем моделирования кибератак, которые могут использоваться как для выявления уязвимостей в IТ-инфраструктуре, так и для тестирования эффективности средств защиты информации.

В статье предложена и реализована методика автоматизированного моделирования кибератак (Breach and Attack Simulation, BAS) на основе поэтапного сканирования веб?приложений. Описаны этапы разведки, фаззинг директорий и шаблонное сканирование уязвимостей с помощью различных инструментов и сканеров, каждый из которых играет свою роль в процессе моделирования кибератаки.

1.??Голушко А. Актуальные киберугрозы: IV квартал 2024 года – I квартал 2025 года // Positive Technologies: сайт. – 2025, 20 марта. – URL: https://ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-iv-kvartal-2024-goda-i-kvartal-2025-goda (дата обращения: 02.09.2025).

2.??ГК «Солар»: число веб-атак на сайты российских компаний за год выросло в 2 раза // Solar: сайт. – URL: https://rt-solar.ru/events/news/5498/ (дата обращения: 02.09.2025).

3.??Бойченко О.В. Модель многоступенчатой кибератаки Cyber Kill Chain // Дистанционные образовательные технологии: материалы VII Международной научно-практической конференции, Ялта, 20–22 сентября 2022 года. –

Симферополь, 2022. – С. 246–250. – EDN UGZVWV.

4.??OWASP Top Ten | OWASP Foundation // Owasp. – URL: https://owasp.org/www-project-top-ten (accessed: 02.09.2025).

5.??Рыбаков Н.С., Сушко М.А. Анализ уязвимостей веб-приложений //

Студент: наука, профессия, жизнь: материалы XI Всероссийской студенческой научной конференции с международным участием. В 5 ч. Ч. 3, Омск,

22–26 апреля 2024 года. – Омск, 2024. – С. 228–232. – EDN HQPOJG.

6.??Мисбахов Н.И., Лукьянов Э.Р., Степанов М.О. Обзор классификации OWASP Top 10 // Актуальные проблемы науки и образования в условиях современных вызовов: сборник материалов XXVIII Международной научно-практической конференции, Москва, 01 марта 2024 года. – СПб., 2024. – С. 51–55. – EDN TECDOF.

7.??Ли Д. Системы BAS (Breach and Attack Simulation): комплексная симуляция кибератак на инфраструктуру // Anti-Malware.ru: сайт. – 2021, 4 мая. – URL: https://www.anti-malware.ru/analytics/Technology_Analysis/Breach-and-Attack-Simulation (дата обращения: 03.09.2025).

8.??Швидченко С.A., Решетняк А.Р. Аналитический обзор существующих инструментов для тестирования программного обеспечения на предмет //

Интеллектуальные информационные технологии и математическое моделирование: труды Международной научной конференции, пос. Дивноморское, Краснодарский край, 26–29 августа 2022 года. – Ростов н/Д., 2022. –

С. 142–147. – EDN ITLMWS.

9.??Шамрицкий К.Г. Обзор решений Breach and Attack Simulation по практической информационной безопасности // Вестник по безопасности: материалы Всероссийской научно-практической конференции по безопасности,

Тольятти, 20–21 декабря 2019 года. Вып. 12. – Тольятти, 2019. – С. 48–55. – EDN EHCZRE.