Сканирование уязвимостей корпоративной сети: как мы автоматизировали аудит 200 серверов и что нашли в первый месяц
Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Знаете, за годы работы я провёл десятки аудитов корпоративных инфраструктур, и ещё ни разу мы не уходили, не обнаружив целого списка критичных уязвимостей. Сегодня я хочу наглядно, на конкретном примере, разобрать, что же такое регулярное сканирование уязвимостей, почему оно так важно для любого бизнеса и, конечно, как нам удалось поставить этот процесс на настоящий конвейер, используя при этом совершенно бесплатный OpenVAS.
Почему «у нас всё нормально» — самое опасное заблуждение
Представляете, когда я приезжаю на свой первый аудит к новому клиенту, то почти всегда слышу одну и ту же фразу: «Да у нас ничего такого интересного, нас ломать точно никому не нужно». А вот часа через два мой инженер уже показывает презентацию — и там, как правило, 30–40 слайдов с найденными дырами! Например, непропатченный SSH с прошлогодней уязвимостью, или открытый Redis без пароля, или, бывает, тестовая админка phpMyAdmin, о которой вообще забыли в продакшене аж три года назад.
Знаете, самое большое заблуждение в бизнесе — это вера, будто хакерам нужны исключительно «интересные» цели. На самом деле, львиная доля атак сегодня — это чистая автоматика. Боты без устали, 24/7, сканируют весь интернет, находят машину с открытым уязвимым сервисом, тут же ставят шифровальщик и, конечно, требуют выкуп. Им абсолютно всё равно, кто их жертва — крупный банк или, скажем, небольшой магазин канцтоваров. Для них главное — это открытый порт, на котором «висит» дырявая, устаревшая версия программы.
Сканирование уязвимостей — это, я бы сказал, такой профилактический медосмотр, но для серверов. Раз в неделю особая программа, словно врач, обходит все машины в сети, проверяет, что там установлено и какие известные дыры есть у этих программ, а потом сводит всё это в аккуратный отчёт. А вот закрыть то, что обнаружили, — это уже прямая задача системного администратора.
Кейс: MSP-компания и 200 серверов их клиентов
В январе 2026 года к нам обратилась компания «СекьюрИТ» — это такой крупный MSP-провайдер, который обслуживает целых 45 средних бизнесов только в одной Москве. Представляете, под их управлением 200 серверов и 80 единиц сетевого оборудования! И знаете, картина, которую мы застали до нашего прихода, была, к сожалению, абсолютно типичной для российского рынка:
- Сканирование делалось вручную — инженер раз в квартал запускал nmap и записывал результаты в Excel.
- Реально проверялось 30–40 серверов из 200 — на остальные не хватало времени.
- nmap находит открытые порты, но не знает о свежих CVE в установленном софте.
- Клиенты MSP начали запрашивать отчёты для аудиторов, а Excel-таблица с тремя колонками для серьёзного аудита не подходит.
- Никакого трекинга закрытия уязвимостей не было: нашли — записали — забыли.
Нам поставили чёткую задачу: нужно было автоматизировать еженедельное сканирование всех 200 серверов, предоставлять клиентам аккуратные PDF-отчёты, которые можно было бы показать аудиторам, и, конечно, контролировать, чтобы все критические уязвимости закрывались строго в срок.
Чем мы сканируем и почему именно этим
На рынке сканеров уязвимостей есть три класса инструментов:
| Инструмент | Стоимость в год | Кому подходит |
|---|---|---|
| OpenVAS / GVM | 0 ₽ | Небольшие и средние компании, MSP-провайдеры с собственной командой |
| Tenable Nessus Pro | ≈ 350 000 ₽ (один сканер) | Корпоративный сектор с готовностью платить за поддержку |
| MaxPatrol VM (Positive Technologies) | от 1 200 000 ₽ | Госкомпании и предприятия с требованиями ФСТЭК |
| RedCheck (АЛТЭКС-СОФТ) | от 600 000 ₽ | Сертифицированное решение под российские требования |
Для «СекьюрИТ» выбор для нас был очевиден — конечно же, OpenVAS (полное имя Greenbone Vulnerability Management, или GVM). Это ведь бесплатное ПО, да ещё и с открытым кодом: там больше 180 тысяч проверок на известные уязвимости, у него активное сообщество и, что немаловажно, подробная документация. А самое главное, у самого MSP-провайдера уже была своя сильная техкоманда, которая вполне могла бы его сопровождать.
Как мы это разворачивали — без перегруза техническими деталями
Расскажу по логике, без портянок команд. Нужны технические детали — мои инженеры покажут на демо.
- Выделили отдельный сервер под сканер. 4 ядра, 8 ГБ оперативной памяти, 50 ГБ SSD. GVM во время активного сканирования съедает почти все ресурсы, поэтому ставить его на машину с другими задачами нельзя.
- Запустили GVM в Docker-контейнере. Это упрощает обновления и резервное копирование. Первый запуск занял 50 минут — программа скачивала базу из 183 тысяч проверок.
- Сгруппировали серверы по клиентам. 45 клиентов — 45 групп, у каждой свой набор IP-адресов и расписание сканирования.
- Создали учётные записи для глубокого сканирования. Это важный момент: сканирование «изнутри» (с авторизацией по SSH или SMB) находит в 3–5 раз больше уязвимостей, чем «снаружи». На каждом сервере клиента создали read-only учётку, которая может только читать список установленных пакетов.
- Расписали сканирование на семь дней недели. 6–7 клиентов в день, начало в 02:00 ночи, чтобы не нагружать рабочую сеть.
- Подключили автоматическую отправку отчётов. Каждое утро технический директор клиента получает PDF с найденными за ночь уязвимостями и рекомендациями.
- Настроили трекинг закрытия. Если критическая уязвимость через 24 часа не закрыта — алерт в Telegram руководителю проекта.
Представьте, на полное развёртывание всей системы у нас ушло всего 22 рабочих дня. Установкой и всеми интеграциями у нас занимался один старший инженер, а ещё двое средних специалистов помогали заводить клиентов и тестировать учётные записи.
Что нашли в первую неделю работы — пугающая статистика
Как только мы провели первый еженедельный скан всех 200 серверов, система выдала нам в общей сложности 2 837 находок! И вот как они распределились по критичности:
| Уровень | Описание | Найдено | SLA на закрытие |
|---|---|---|---|
| Critical (CVSS 9–10) | Удалённый взлом без пароля | 34 | 24 часа |
| High (CVSS 7–8.9) | Серьёзный риск, нужен пароль или особые условия | 289 | 7 дней |
| Medium (CVSS 4–6.9) | Умеренный риск | 1 412 | 30 дней |
| Low (CVSS 0.1–3.9) | Минимальный риск | 1 102 | при следующем обслуживании |
Среди критичных находок были классические страшилки 2024–2026 годов:
- regreSSHion (CVE-2024-6387) — на 18 серверах стоял непропатченный OpenSSH, через который можно получить удалённый root-доступ.
- Бэкдор xz-utils (CVE-2024-3094) — на 4 серверах оказалась заражённая версия системной утилиты.
- HTTP/2 Rapid Reset (CVE-2023-44487) — на 12 серверах nginx был уязвим к DDoS-атаке.
- Старые версии PHP, MySQL и Apache, отказ от обновлений «потому что вдруг что-то сломается».
Уже за первую неделю команда «СекьюрИТ» смогла закрыть все 34 критические уязвимости. А к третьей неделе из 289 high-уязвимостей было закрыто целых 270! То есть, всего за месяц инфраструктура их клиентов перешла в совершенно другое, качественно новое состояние — оно ещё не идеальное, конечно, но уже измеримо, ощутимо более безопасное.
Кому действительно нужно регулярное сканирование
Знаете, я не отношусь к тем консультантам, которые стремятся продать абсолютно всё и всем без разбора. Поэтому скажу вам честно, кому это действительно нужно в первую очередь:
- Любая компания с публичными сервисами. Сайт, личный кабинет, API для мобильного приложения, корпоративная почта. Если что-то «торчит наружу» — оно сканируется ботами 24/7, и вопрос только в том, кто найдёт уязвимость первым: вы или они.
- Финансовый сектор. Требования ЦБ (положение 683-П) и PCI DSS прямо обязывают проводить регулярное сканирование уязвимостей.
- Компании с персональными данными клиентов. ФЗ-152 о персональных данных требует «применения средств защиты информации». Регулярный аудит уязвимостей — один из обязательных пунктов.
- Госкомпании и подрядчики госструктур. Требования ФСТЭК и приказ № 21 — без сканирования просто не пройдёте проверку.
- MSP-провайдеры и аутсорсеры. Это часть базового сервиса, без которого клиенты уже не подписывают договоры.
А вот кому, на мой взгляд, можно и отложить: это маленький офис, у которого всего один файловый сервер где-то в локалке, который не «торчит» в интернет и не имеет никаких публичных сервисов. Хотя даже в таком случае я бы всё равно посоветовал хотя бы раз в полгода прогонять хотя бы разовый скан.
Сколько это стоит для среднего бизнеса
Конечно, стоимость сильно-сильно зависит от размера вашей инфраструктуры. Приведу вам типичные цифры, которые мы видим по нашим клиентам, актуальные на апрель 2026 года, уже с НДС:
| Размер инфраструктуры | Развёртывание под ключ | Ежемесячное сопровождение |
|---|---|---|
| До 20 серверов | 45 000 ₽ | 8 000 ₽ |
| 20–50 серверов | 72 000 ₽ | 14 000 ₽ |
| 50–150 серверов | 110 000 ₽ | 22 000 ₽ |
| 150+ серверов | от 180 000 ₽ | от 35 000 ₽ (индивидуально) |
В наше сопровождение входит еженедельный тщательный разбор отчёта, мы вместе с клиентом согласовываем приоритеты, контролируем закрытие всех критичных дыр и, конечно, готовим ежемесячный сводный отчёт для руководства. А если вы хотите, чтобы мои инженеры ещё и сами закрывали все найденные уязвимости, то это уже будут дополнительные часы по нашему обычному почасовому тарифу.
Подводные камни, о которых редко говорят
За три года работы с OpenVAS у клиентов мы наступили на все мыслимые грабли. Делюсь главными:
- Сканер находит, но не лечит. Это инструмент диагностики. Без команды, готовой закрывать найденные уязвимости, отчёты пылятся в почте, а инфраструктура остаётся дырявой.
- Глубокое сканирование без авторизации почти бесполезно. Если у сканера нет учётки на сервере, он увидит только то, что торчит наружу. Поверхностный взгляд снаружи показывает 10 % реальных проблем.
- Ложноположительные срабатывания случаются. Около 5–8 % находок — ложные. Без эксперта, который умеет читать отчёт и отделять реальные риски от шума, бизнес тонет в количестве.
- Базу проверок надо обновлять каждый день. Новые CVE появляются непрерывно. Если база устарела на месяц, сканер пропускает всё свежее.
- Не путайте сканер с пентестом. Сканер находит известные уязвимости. Зловредный хакер может найти свежую неизвестную дыру. Для серьёзной защиты нужно и то, и другое.
Бесплатный аудит вашей инфраструктуры
Предлагаю вам заказать однократное сканирование вашей корпоративной сети. Всего за 3–5 рабочих дней я лично подготовлю для вас подробный письменный отчёт, где будет приоритизированный список уязвимостей и, конечно, наши рекомендации. И никаких обязательств заключать договор на абонентское обслуживание — просто так, чтобы вы знали реальную картину.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы
- Чем сканирование уязвимостей отличается от пентеста?
- Сканер — это автоматическая программа, которая ищет известные уязвимости по большой базе данных (CVE). Пентест — это работа живого специалиста, который находит свежие, нестандартные дыры. Сканер дешёвый и регулярный, пентест дорогой и точечный. Идеально — сочетать оба.
- Сколько стоит регулярное сканирование инфраструктуры?
- Развёртывание GVM/OpenVAS под ключ — от 45 000 руб. Дальше ежемесячно 8 000–25 000 руб. за разбор отчётов и закрытие найденных уязвимостей, в зависимости от размера инфраструктуры.
- Можно ли сломать рабочий сервер сканированием?
- При штатных настройках — практически нет, опасные проверки отключены. За три года использования OpenVAS у наших клиентов из 800+ просканированных серверов ни один не пострадал. Глубокое сканирование (Full and Deep) лучше запускать на тестовом контуре.
- Как часто нужно сканировать сеть?
- Раз в неделю — оптимально для большинства компаний. Новые уязвимости появляются каждый день, и квартальные проверки уже не работают. Мы у клиентов запускаем автоматический скан в ночь с пятницы на субботу, к понедельнику отчёт у клиента в почте.
- Сканер что-то найдёт у нас? У нас же ничего особенного нет.
- Найдёт. Из десяти первых аудитов у новых клиентов — десять с критическими уязвимостями. Это статистика. Самые частые: непропатченный OpenSSH, забытые тестовые админки, открытые порты с устаревшими версиями ПО.
