EASM в 2026: что это, кому нужно и как выбрать платформу
External Attack Surface Management — непрерывный поиск публичных активов глазами атакующего. Чем отличается от пентеста, что реально находит, кому имеет смысл подключать и по каким критериям выбирать.
EASM это непрерывный автоматизированный поиск всех публичных активов компании глазами атакующего: забытые поддомены, тестовые стенды в облаке, утёкшие API-ключи, открытые админ-панели. В отличие от пентеста раз в год EASM работает каждый день и догоняет инфраструктуру, которая меняется быстрее ручного аудита. Имеет смысл при площади поверхности от 200 публичных активов или при наличии shadow IT.
Чем EASM отличается от пентеста и vulnerability scanning
Три понятия часто путают, потому что все «про периметр».
Пентест — точечная глубокая проверка с попыткой эксплуатации. Раз в год, дорого, доказывает пробой. Закрывает вопрос «можно ли пробить защиту в текущей конфигурации».
Vulnerability scanning — регулярное сканирование известного списка активов на известные CVE. Отвечает «есть ли уязвимости на хостах, которые я знаю».
EASM — непрерывное обнаружение того, что вы не знаете. Поддомены, созданные админом три года назад. Тестовые S3-бакеты разработчика. Утёкшие в GitHub API-ключи. Открытый на 22 порт дебаг-стенд.
Инструменты не заменяют друг друга. EASM ловит то, что вы не подадите в scope пентеста, просто потому что не знаете о существовании актива.
Что реально находит зрелая платформа
- DNS takeover-кандидаты. CNAME-записи на удалённые облачные ресурсы. Атакующий регистрирует тот же ресурс у провайдера и получает контроль над поддоменом. - Shadow cloud. S3, GCS, Azure Blob — публичные бакеты с данными или конфигами. Тестовые VM с дебаг-сервисами на дефолтных портах. - Утечки в публичных репозиториях. API-ключи, креды, .env с продакшн-настройками в коде сотрудников или подрядчиков. - Открытые админ-панели. Jenkins, Grafana, Kibana, MongoDB, Elasticsearch без аутентификации или с дефолтными учётками. - Просроченные сертификаты и устаревший TLS. Уязвимые CVE в публичных приложениях (Confluence, Exchange, GitLab). - Phishing-домены. Тайпсквоты вашего бренда, готовящиеся к атаке на сотрудников или клиентов.
Кому EASM нужен, а кому переплата
Имеет смысл если в компании:
- Больше 200 публичных активов (поддоменов + публичных IP + cloud-эндпойнтов). - Несколько облачных провайдеров параллельно. - Активный M&A или децентрализованные дочерние компании, каждая со своим IT. - Команды разработки, которые свободно создают новые сервисы без централизованного учёта. - Регулярные внешние пентесты, в которых периодически находят активы, о которых внутренние ИБ не знают.
Не имеет смысла если:
- Меньше 50 публичных активов и стабильный список — здесь хватит vulnerability scanner с asset-discovery. - Нет ресурса разбирать поток находок — EASM генерирует десятки алертов в день, без процесса триажа платформа стоит впустую. - Нет хотя бы базового vulnerability management — закрывать поток находок EASM в компанию без VM невозможно.
Как выбирать платформу
Качество discovery. Запросите тестовый прогон по вашему домену у трёх вендоров. Сравните списки активов. У серьёзного игрока разница с конкурентами 10–20%, а не в разы.
Глубина обогащения. Платформа должна не просто перечислить активы, а классифицировать: тип сервиса, версия, известные CVE, история изменений, связанные активы. Без этого вы получаете список, а не контекст.
Качество triage. EASM-поток без приоритизации — это шум. Хорошая платформа сама фильтрует ложные срабатывания и ранжирует находки по риску.
Интеграции. ServiceNow, Jira, SOAR, SIEM, ticket-системы. Без интеграций находки не доходят до исправления.
Покрытие в РФ. Если работаете в российском контуре — критично, чтобы платформа корректно работала с .ru-зоной, Yandex Cloud, VK Cloud, MTS Cloud, и понимала российских облачных провайдеров.
Сколько стоит и за что платить
Платформы EASM в 2026 году обычно тарифицируются по числу активов или по числу seed-доменов с lookup-глубиной. Бюджеты различаются в разы между вендорами, поэтому сравнение по прайс-листу бессмысленно — запрашивайте предложение под ваш реальный размер.
К стоимости платформы обязательно прибавьте ресурс на работу с потоком: один человек на 40 часов в месяц на компанию среднего размера, чтобы триажить алерты и доводить находки до исправления. Без этого платформа не окупается.
Связь с пентестом и SOC
EASM не заменяет пентест и не заменяет SOC. Он наполняет scope обоих.
Для пентеста EASM-выгрузка даёт актуальный список целей — особенно полезно перед ежегодным внешним пентестом. Если EASM нашёл новый забытый поддомен — он попадает в scope в этом году.
Для SOC EASM даёт контекст. Алерт по подозрительной активности на хосте, который не числится в asset-inventory, перестаёт быть аномалией — это просто легитимный актив, который SOC раньше не видел. Связь SOC с управлением рисками подробно разобрана в посте про SOC vs MDR.
Если нужна помощь
Мы помогаем выбрать и внедрить EASM-платформу под ваш контекст: проводим тестовые прогоны 2-3 вендоров на вашей реальной инфраструктуре, согласуем процесс триажа с вашей командой, интегрируем с ticket-системой. Если у вас уже есть EASM, но поток ложных срабатываний не даёт работать — проводим калибровку и оптимизацию правил.
