Чем сканирование уязвимостей отличается от пентеста?

Сканер — это автоматическая программа, которая ищет известные уязвимости по большой базе данных (CVE). Пентест — это работа живого специалиста, который находит свежие, нестандартные дыры. Сканер дешёвый и регулярный, пентест дорогой и точечный. Идеально — сочетать оба.

Сколько стоит регулярное сканирование инфраструктуры?

Развёртывание GVM/OpenVAS под ключ — от 45 000 руб. Дальше ежемесячно 8 000–25 000 руб. за разбор отчётов и закрытие найденных уязвимостей, в зависимости от размера инфраструктуры.

Можно ли сломать рабочий сервер сканированием?

При штатных настройках — практически нет, опасные проверки отключены. За три года использования OpenVAS у наших клиентов из 800+ просканированных серверов ни один не пострадал. Глубокое сканирование (Full and Deep) лучше запускать на тестовом контуре.

Как часто нужно сканировать сеть?

Раз в неделю — оптимально для большинства компаний. Новые уязвимости появляются каждый день, и квартальные проверки уже не работают. Мы у клиентов запускаем автоматический скан в ночь с пятницы на субботу, к понедельнику отчёт у клиента в почте.

Сканер что-то найдёт у нас? У нас же ничего особенного нет.

Найдёт. Из десяти первых аудитов у новых клиентов — десять с критическими уязвимостями. Это статистика. Самые частые: непропатченный OpenSSH, забытые тестовые админки, открытые порты с устаревшими версиями ПО.

Безопасность 17 апреля 2026 · 12 мин чтения

Сканирование уязвимостей корпоративной сети: как мы автоматизировали аудит 200 серверов и что нашли в первый месяц

Меня зовут Семёнов Евгений Сергеевич, я директор компании АйТи Фреш. У меня за плечами десятки аудитов корпоративных инфраструктур — и ни в одном случае мы не уходили без длинного списка критичных уязвимостей. Сегодня я хочу разобрать на конкретном примере, что такое регулярное сканирование уязвимостей, зачем оно нужно бизнесу и как мы поставили этот процесс на конвейер с помощью бесплатного OpenVAS.

Почему «у нас всё нормально» — самое опасное заблуждение

Когда я приезжаю на первый аудит к новому клиенту, чаще всего слышу одну и ту же фразу: «У нас тут ничего интересного, нас ломать никому не нужно». Через два часа работы мой инженер обычно показывает презентацию из 30–40 слайдов с найденными дырами: непропатченный SSH с уязвимостью прошлогодней давности, открытый Redis без пароля, тестовая админка phpMyAdmin, забытая в продакшене три года назад.

Главное заблуждение бизнеса в том, что хакерам якобы нужны «интересные» цели. На самом деле подавляющее большинство атак — автоматические. Боты сканируют интернет круглосуточно, находят машину с открытым уязвимым сервисом, ставят шифровальщика, требуют выкуп. Им неважно, кто жертва — банк или магазин канцтоваров. Им важно, что у вас открыт порт, на котором висит уязвимая версия программы.

Сканирование уязвимостей — это профилактический медосмотр для серверов. Раз в неделю специальная программа проходит по всем машинам в сети, проверяет, что на них установлено, какие у этих программ известные дыры, и составляет отчёт. Дальше — задача системного администратора их закрыть.

Кейс: MSP-компания и 200 серверов их клиентов

В январе 2026 года к нам пришла компания «СекьюрИТ» — это MSP-провайдер, который обслуживает 45 средних бизнесов в Москве. У них в управлении 200 серверов и 80 единиц сетевого оборудования. До нашего прихода ситуация была типичная для российского рынка:

Сканирование делалось вручную — инженер раз в квартал запускал nmap и записывал результаты в Excel.
Реально проверялось 30–40 серверов из 200 — на остальные не хватало времени.
nmap находит открытые порты, но не знает о свежих CVE в установленном софте.
Клиенты MSP начали запрашивать отчёты для аудиторов, а Excel-таблица с тремя колонками для серьёзного аудита не подходит.
Никакого трекинга закрытия уязвимостей не было: нашли — записали — забыли.

Задача звучала так: автоматизировать сканирование всех 200 серверов с еженедельной периодичностью, выдавать клиентам красивые PDF-отчёты для их аудиторов и контролировать, что критические уязвимости закрываются в установленные сроки.

Чем мы сканируем и почему именно этим

На рынке сканеров уязвимостей есть три класса инструментов:

Инструмент	Стоимость в год	Кому подходит
OpenVAS / GVM	0 ₽	Небольшие и средние компании, MSP-провайдеры с собственной командой
Tenable Nessus Pro	≈ 350 000 ₽ (один сканер)	Корпоративный сектор с готовностью платить за поддержку
MaxPatrol VM (Positive Technologies)	от 1 200 000 ₽	Госкомпании и предприятия с требованиями ФСТЭК
RedCheck (АЛТЭКС-СОФТ)	от 600 000 ₽	Сертифицированное решение под российские требования

Для «СекьюрИТ» выбор был очевиден — OpenVAS (полное название Greenbone Vulnerability Management, или GVM). Это бесплатное программное обеспечение с открытым кодом, в нём более 180 тысяч проверок на известные уязвимости, активное сообщество и подробная документация. Главное — у MSP-провайдера была своя сильная техническая команда, которая могла его сопровождать.

Как мы это разворачивали — без перегруза техническими деталями

Расскажу логически, без портянок команд. Если нужны технические детали — мои инженеры покажут на демо.

Выделили отдельный сервер под сканер. 4 ядра, 8 ГБ оперативной памяти, 50 ГБ SSD. GVM во время активного сканирования съедает почти все ресурсы, поэтому ставить его на машину с другими задачами нельзя.
Запустили GVM в Docker-контейнере. Это упрощает обновления и резервное копирование. Первый запуск занял 50 минут — программа скачивала базу из 183 тысяч проверок.
Сгруппировали серверы по клиентам. 45 клиентов — 45 групп, у каждой свой набор IP-адресов и расписание сканирования.
Создали учётные записи для глубокого сканирования. Это важный момент: сканирование «изнутри» (с авторизацией по SSH или SMB) находит в 3–5 раз больше уязвимостей, чем «снаружи». На каждом сервере клиента создали read-only учётку, которая может только читать список установленных пакетов.
Расписали сканирование на семь дней недели. 6–7 клиентов в день, начало в 02:00 ночи, чтобы не нагружать рабочую сеть.
Подключили автоматическую отправку отчётов. Каждое утро технический директор клиента получает PDF с найденными за ночь уязвимостями и рекомендациями.
Настроили трекинг закрытия. Если критическая уязвимость через 24 часа не закрыта — алерт в Telegram руководителю проекта.

На полное развёртывание ушло 22 рабочих дня. Один старший инженер занимался установкой и интеграциями, два средних — заводили клиентов и тестировали учётки.

Что нашли в первую неделю работы — пугающая статистика

Первый еженедельный скан 200 серверов выдал в общей сложности 2 837 находок. Распределение по критичности:

Уровень	Описание	Найдено	SLA на закрытие
Critical (CVSS 9–10)	Удалённый взлом без пароля	34	24 часа
High (CVSS 7–8.9)	Серьёзный риск, нужен пароль или особые условия	289	7 дней
Medium (CVSS 4–6.9)	Умеренный риск	1 412	30 дней
Low (CVSS 0.1–3.9)	Минимальный риск	1 102	при следующем обслуживании

Среди критичных находок были классические страшилки 2024–2026 годов:

regreSSHion (CVE-2024-6387) — на 18 серверах стоял непропатченный OpenSSH, через который можно получить удалённый root-доступ.
Бэкдор xz-utils (CVE-2024-3094) — на 4 серверах оказалась заражённая версия системной утилиты.
HTTP/2 Rapid Reset (CVE-2023-44487) — на 12 серверах nginx был уязвим к DDoS-атаке.
Старые версии PHP, MySQL и Apache, отказ от обновлений «потому что вдруг что-то сломается».

За первую неделю команда «СекьюрИТ» закрыла все 34 критические уязвимости. К третьей неделе из 289 high-уязвимостей было закрыто 270. За месяц инфраструктура клиентов пришла в качественно другое состояние — не идеальное, но измеримо более безопасное.

Кому действительно нужно регулярное сканирование

Я не из тех консультантов, что продают всем подряд. Скажу честно, кому это надо в первую очередь:

Любая компания с публичными сервисами. Сайт, личный кабинет, API для мобильного приложения, корпоративная почта. Если что-то «торчит наружу» — оно сканируется ботами 24/7, и вопрос только в том, кто найдёт уязвимость первым: вы или они.
Финансовый сектор. Требования ЦБ (положение 683-П) и PCI DSS прямо обязывают проводить регулярное сканирование уязвимостей.
Компании с персональными данными клиентов. ФЗ-152 о персональных данных требует «применения средств защиты информации». Регулярный аудит уязвимостей — один из обязательных пунктов.
Госкомпании и подрядчики госструктур. Требования ФСТЭК и приказ № 21 — без сканирования просто не пройдёте проверку.
MSP-провайдеры и аутсорсеры. Это часть базового сервиса, без которого клиенты уже не подписывают договоры.

Кому это можно отложить: маленькому офису с одним файловым сервером в локальной сети, который не торчит в интернет, без публичных сервисов. Хотя даже там я бы рекомендовал хотя бы раз в полгода прогонять разовый скан.

Сколько это стоит для среднего бизнеса

Стоимость сильно зависит от размера инфраструктуры. Привожу типичные цифры по нашим клиентам, апрель 2026 года, с НДС:

Размер инфраструктуры	Развёртывание под ключ	Ежемесячное сопровождение
До 20 серверов	45 000 ₽	8 000 ₽
20–50 серверов	72 000 ₽	14 000 ₽
50–150 серверов	110 000 ₽	22 000 ₽
150+ серверов	от 180 000 ₽	от 35 000 ₽ (индивидуально)

В стоимость сопровождения входит еженедельный разбор отчёта, согласование с клиентом приоритетов, контроль закрытия критичных дыр и ежемесячный сводный отчёт для руководства. Если хотите, чтобы мои инженеры ещё и сами закрывали найденные уязвимости — это дополнительные часы работы по обычному почасовому тарифу.

Подводные камни, о которых редко говорят

За три года работы с OpenVAS у клиентов мы наступили на все возможные грабли. Делюсь главными:

Сканер находит, но не лечит. Это инструмент диагностики. Без команды, готовой закрывать найденные уязвимости, отчёты пылятся в почте, а инфраструктура остаётся дырявой.
Глубокое сканирование без авторизации почти бесполезно. Если у сканера нет учётки на сервере, он увидит только то, что торчит наружу. Поверхностный взгляд снаружи показывает 10 % реальных проблем.
Ложноположительные срабатывания случаются. Около 5–8 % находок — ложные. Без эксперта, который умеет читать отчёт и отделять реальные риски от шума, бизнес тонет в количестве.
Базу проверок надо обновлять каждый день. Новые CVE появляются непрерывно. Если база устарела на месяц, сканер пропускает всё свежее.
Не путайте сканер с пентестом. Сканер находит известные уязвимости. Зловредный хакер может найти свежую неизвестную дыру. Для серьёзной защиты нужно и то, и другое.

Бесплатный аудит вашей инфраструктуры

Закажите однократное сканирование вашей корпоративной сети. За 3–5 рабочих дней я лично подготовлю письменный отчёт с приоритезированным списком уязвимостей и рекомендациями. Без обязательств заключать договор на абонентское обслуживание.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Чем сканирование уязвимостей отличается от пентеста?: Сканер — это автоматическая программа, которая ищет известные уязвимости по большой базе данных (CVE). Пентест — это работа живого специалиста, который находит свежие, нестандартные дыры. Сканер дешёвый и регулярный, пентест дорогой и точечный. Идеально — сочетать оба.
Сколько стоит регулярное сканирование инфраструктуры?: Развёртывание GVM/OpenVAS под ключ — от 45 000 руб. Дальше ежемесячно 8 000–25 000 руб. за разбор отчётов и закрытие найденных уязвимостей, в зависимости от размера инфраструктуры.
Можно ли сломать рабочий сервер сканированием?: При штатных настройках — практически нет, опасные проверки отключены. За три года использования OpenVAS у наших клиентов из 800+ просканированных серверов ни один не пострадал. Глубокое сканирование (Full and Deep) лучше запускать на тестовом контуре.
Как часто нужно сканировать сеть?: Раз в неделю — оптимально для большинства компаний. Новые уязвимости появляются каждый день, и квартальные проверки уже не работают. Мы у клиентов запускаем автоматический скан в ночь с пятницы на субботу, к понедельнику отчёт у клиента в почте.
Сканер что-то найдёт у нас? У нас же ничего особенного нет.: Найдёт. Из десяти первых аудитов у новых клиентов — десять с критическими уязвимостями. Это статистика. Самые частые: непропатченный OpenSSH, забытые тестовые админки, открытые порты с устаревшими версиями ПО.