· 12 мин чтения

Сканирование уязвимостей корпоративной сети: как мы автоматизировали аудит 200 серверов и что нашли в первый месяц

Сканирование уязвимостей корпоративной сети: как мы автоматизировали аудит 200 серверов и что нашли в первый месяц

Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Знаете, за годы работы я провёл десятки аудитов корпоративных инфраструктур, и ещё ни разу мы не уходили, не обнаружив целого списка критичных уязвимостей. Сегодня я хочу наглядно, на конкретном примере, разобрать, что же такое регулярное сканирование уязвимостей, почему оно так важно для любого бизнеса и, конечно, как нам удалось поставить этот процесс на настоящий конвейер, используя при этом совершенно бесплатный OpenVAS.

Почему «у нас всё нормально» — самое опасное заблуждение

Представляете, когда я приезжаю на свой первый аудит к новому клиенту, то почти всегда слышу одну и ту же фразу: «Да у нас ничего такого интересного, нас ломать точно никому не нужно». А вот часа через два мой инженер уже показывает презентацию — и там, как правило, 30–40 слайдов с найденными дырами! Например, непропатченный SSH с прошлогодней уязвимостью, или открытый Redis без пароля, или, бывает, тестовая админка phpMyAdmin, о которой вообще забыли в продакшене аж три года назад.

Знаете, самое большое заблуждение в бизнесе — это вера, будто хакерам нужны исключительно «интересные» цели. На самом деле, львиная доля атак сегодня — это чистая автоматика. Боты без устали, 24/7, сканируют весь интернет, находят машину с открытым уязвимым сервисом, тут же ставят шифровальщик и, конечно, требуют выкуп. Им абсолютно всё равно, кто их жертва — крупный банк или, скажем, небольшой магазин канцтоваров. Для них главное — это открытый порт, на котором «висит» дырявая, устаревшая версия программы.

Сканирование уязвимостей — это, я бы сказал, такой профилактический медосмотр, но для серверов. Раз в неделю особая программа, словно врач, обходит все машины в сети, проверяет, что там установлено и какие известные дыры есть у этих программ, а потом сводит всё это в аккуратный отчёт. А вот закрыть то, что обнаружили, — это уже прямая задача системного администратора.

Кейс: MSP-компания и 200 серверов их клиентов

В январе 2026 года к нам обратилась компания «СекьюрИТ» — это такой крупный MSP-провайдер, который обслуживает целых 45 средних бизнесов только в одной Москве. Представляете, под их управлением 200 серверов и 80 единиц сетевого оборудования! И знаете, картина, которую мы застали до нашего прихода, была, к сожалению, абсолютно типичной для российского рынка:

Нам поставили чёткую задачу: нужно было автоматизировать еженедельное сканирование всех 200 серверов, предоставлять клиентам аккуратные PDF-отчёты, которые можно было бы показать аудиторам, и, конечно, контролировать, чтобы все критические уязвимости закрывались строго в срок.

Чем мы сканируем и почему именно этим

На рынке сканеров уязвимостей есть три класса инструментов:

ИнструментСтоимость в годКому подходит
OpenVAS / GVM0 ₽Небольшие и средние компании, MSP-провайдеры с собственной командой
Tenable Nessus Pro≈ 350 000 ₽ (один сканер)Корпоративный сектор с готовностью платить за поддержку
MaxPatrol VM (Positive Technologies)от 1 200 000 ₽Госкомпании и предприятия с требованиями ФСТЭК
RedCheck (АЛТЭКС-СОФТ)от 600 000 ₽Сертифицированное решение под российские требования

Для «СекьюрИТ» выбор для нас был очевиден — конечно же, OpenVAS (полное имя Greenbone Vulnerability Management, или GVM). Это ведь бесплатное ПО, да ещё и с открытым кодом: там больше 180 тысяч проверок на известные уязвимости, у него активное сообщество и, что немаловажно, подробная документация. А самое главное, у самого MSP-провайдера уже была своя сильная техкоманда, которая вполне могла бы его сопровождать.

Как мы это разворачивали — без перегруза техническими деталями

Расскажу по логике, без портянок команд. Нужны технические детали — мои инженеры покажут на демо.

  1. Выделили отдельный сервер под сканер. 4 ядра, 8 ГБ оперативной памяти, 50 ГБ SSD. GVM во время активного сканирования съедает почти все ресурсы, поэтому ставить его на машину с другими задачами нельзя.
  2. Запустили GVM в Docker-контейнере. Это упрощает обновления и резервное копирование. Первый запуск занял 50 минут — программа скачивала базу из 183 тысяч проверок.
  3. Сгруппировали серверы по клиентам. 45 клиентов — 45 групп, у каждой свой набор IP-адресов и расписание сканирования.
  4. Создали учётные записи для глубокого сканирования. Это важный момент: сканирование «изнутри» (с авторизацией по SSH или SMB) находит в 3–5 раз больше уязвимостей, чем «снаружи». На каждом сервере клиента создали read-only учётку, которая может только читать список установленных пакетов.
  5. Расписали сканирование на семь дней недели. 6–7 клиентов в день, начало в 02:00 ночи, чтобы не нагружать рабочую сеть.
  6. Подключили автоматическую отправку отчётов. Каждое утро технический директор клиента получает PDF с найденными за ночь уязвимостями и рекомендациями.
  7. Настроили трекинг закрытия. Если критическая уязвимость через 24 часа не закрыта — алерт в Telegram руководителю проекта.

Представьте, на полное развёртывание всей системы у нас ушло всего 22 рабочих дня. Установкой и всеми интеграциями у нас занимался один старший инженер, а ещё двое средних специалистов помогали заводить клиентов и тестировать учётные записи.

Что нашли в первую неделю работы — пугающая статистика

Как только мы провели первый еженедельный скан всех 200 серверов, система выдала нам в общей сложности 2 837 находок! И вот как они распределились по критичности:

УровеньОписаниеНайденоSLA на закрытие
Critical (CVSS 9–10)Удалённый взлом без пароля3424 часа
High (CVSS 7–8.9)Серьёзный риск, нужен пароль или особые условия2897 дней
Medium (CVSS 4–6.9)Умеренный риск1 41230 дней
Low (CVSS 0.1–3.9)Минимальный риск1 102при следующем обслуживании

Среди критичных находок были классические страшилки 2024–2026 годов:

Уже за первую неделю команда «СекьюрИТ» смогла закрыть все 34 критические уязвимости. А к третьей неделе из 289 high-уязвимостей было закрыто целых 270! То есть, всего за месяц инфраструктура их клиентов перешла в совершенно другое, качественно новое состояние — оно ещё не идеальное, конечно, но уже измеримо, ощутимо более безопасное.

Кому действительно нужно регулярное сканирование

Знаете, я не отношусь к тем консультантам, которые стремятся продать абсолютно всё и всем без разбора. Поэтому скажу вам честно, кому это действительно нужно в первую очередь:

А вот кому, на мой взгляд, можно и отложить: это маленький офис, у которого всего один файловый сервер где-то в локалке, который не «торчит» в интернет и не имеет никаких публичных сервисов. Хотя даже в таком случае я бы всё равно посоветовал хотя бы раз в полгода прогонять хотя бы разовый скан.

Сколько это стоит для среднего бизнеса

Конечно, стоимость сильно-сильно зависит от размера вашей инфраструктуры. Приведу вам типичные цифры, которые мы видим по нашим клиентам, актуальные на апрель 2026 года, уже с НДС:

Размер инфраструктурыРазвёртывание под ключЕжемесячное сопровождение
До 20 серверов45 000 ₽8 000 ₽
20–50 серверов72 000 ₽14 000 ₽
50–150 серверов110 000 ₽22 000 ₽
150+ серверовот 180 000 ₽от 35 000 ₽ (индивидуально)

В наше сопровождение входит еженедельный тщательный разбор отчёта, мы вместе с клиентом согласовываем приоритеты, контролируем закрытие всех критичных дыр и, конечно, готовим ежемесячный сводный отчёт для руководства. А если вы хотите, чтобы мои инженеры ещё и сами закрывали все найденные уязвимости, то это уже будут дополнительные часы по нашему обычному почасовому тарифу.

Подводные камни, о которых редко говорят

За три года работы с OpenVAS у клиентов мы наступили на все мыслимые грабли. Делюсь главными:

Бесплатный аудит вашей инфраструктуры

Предлагаю вам заказать однократное сканирование вашей корпоративной сети. Всего за 3–5 рабочих дней я лично подготовлю для вас подробный письменный отчёт, где будет приоритизированный список уязвимостей и, конечно, наши рекомендации. И никаких обязательств заключать договор на абонентское обслуживание — просто так, чтобы вы знали реальную картину.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Чем сканирование уязвимостей отличается от пентеста?
Сканер — это автоматическая программа, которая ищет известные уязвимости по большой базе данных (CVE). Пентест — это работа живого специалиста, который находит свежие, нестандартные дыры. Сканер дешёвый и регулярный, пентест дорогой и точечный. Идеально — сочетать оба.
Сколько стоит регулярное сканирование инфраструктуры?
Развёртывание GVM/OpenVAS под ключ — от 45 000 руб. Дальше ежемесячно 8 000–25 000 руб. за разбор отчётов и закрытие найденных уязвимостей, в зависимости от размера инфраструктуры.
Можно ли сломать рабочий сервер сканированием?
При штатных настройках — практически нет, опасные проверки отключены. За три года использования OpenVAS у наших клиентов из 800+ просканированных серверов ни один не пострадал. Глубокое сканирование (Full and Deep) лучше запускать на тестовом контуре.
Как часто нужно сканировать сеть?
Раз в неделю — оптимально для большинства компаний. Новые уязвимости появляются каждый день, и квартальные проверки уже не работают. Мы у клиентов запускаем автоматический скан в ночь с пятницы на субботу, к понедельнику отчёт у клиента в почте.
Сканер что-то найдёт у нас? У нас же ничего особенного нет.
Найдёт. Из десяти первых аудитов у новых клиентов — десять с критическими уязвимостями. Это статистика. Самые частые: непропатченный OpenSSH, забытые тестовые админки, открытые порты с устаревшими версиями ПО.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.