Почему непрерывность в сканировании важна
Каждая опубликованная уязвимость — это потенциальная точка входа для атаки. Согласно отчёту исследовательской группы Unit 42 компании Palo Alto Networks злоумышленники начинают сканирование на наличие уязвимости уже в течение первых 15 минут с момента её публикации во открытом доступе.
При этом по данным VulnCheck 23.6% CVE, впервые использованных в 2024 году, явялись «уязвимостями нулевого дня», так как эксплуатировались злоумышленниками в первый день публикации CVE в открытом доступе или даже раньше. Также недавно команда GeryNoise обнаружила, что в 8 из 10 случаев непосредственно перед официальной публикацией новых уязвимостей (CVE) наблюдаются аномальные всплески активности киберперступников. Они сознательно эксплуатируют устаревшие уязвимости в целях разведки. Таким образом хакеры определяют наиболее уязвимые места сетевого периметра, какие системы им доступны извне и реальный уровень их защиты. Именно по этим «слабым звеньям» и будет нанесена атака, сразу после публикации очередной CVE.
Хотя сканер не может обнаружить уязвимость до её официальной публикации в виде CVE, компании всё равно могут значительно снизить риски быть атакованными. Для этого важно проводить полную инвентаризацию сетевых активов, находить «забытые» устройства и сервисы, проверять потенциально уязвимые открытые порты, собирать по ним подробную информацию, находить распространенные ошибки конфигурации, а также регулярно сканировать инфраструктуру на уже известные уязвимости и оперативно устранять их.
По статистике половина от опубликованных CVE продолжает использоваться хакерами в качестве входной точки для атаки в течение 192 дней с момента публикации. Выводы исследований неутешительные, поскольку дают нам понимание, что что эксплуатация может происходить на любом этапе жизненного цикла уязвимости. При этом многие уязвимости не устраняются компаниями неделями, месяцами и даже годами.
В этих условиях разовые или редкие сканирования уже не обеспечивают достаточный уровень защиты. Постоянный мониторинг необходим уже не только для выполнения требований регуляторов и стандартов по ИБ, но и для значительного уменьшения «окна возможностей» для злоумышленников, желающих проникнуть в ваш сетевой периметр.
Выстроенный процесс, а не просто эксплуатация сканера
Непрерывное сканирование уязвимостей не должно заключаться только в выборе удобного инструмента. Это системный подход, включающий в себя:
1. Создание комплексной политики информационной безопасности или свода отдельных регламентов
Это должен быть документ с описанием зон ответственности, периодичности сканирования, критериев приоритизации и сроков устранения. При этом документ обязательно должен регулярно пересматриваться в соответствии с изменениями инфраструктуры, актуальными трендами в сфере кибербезопасности, а также новыми угрозами.
2. Разграничение зон ответственности
Отчасти следует из предыдущего пункта. Необходимо назначить ответственных сотрудников на каждом из этапов управления уязвимостями: запуск сканирований, анализ результатов, постановку задач по устранению уязвимостей, контроль сроков устранения.
3. Техническое средство – сканер уязвимостей
Эффективное и регулярное сканирование на наличие CVE невозможно провести без соответствующего инструментария, который станет основой всего процесса. Хороший сканер должен поддерживать регулярное автоматизированное сканирование, иметь регулярно обновляемые базы уязвимостей (как минимум раз в день), визуализацию карты ваших активов, быть способным сканировать и внутренний, и внешний периметр, а также поддерживать интеграции через API.
4. Регламенты управления изменениями
Свой набор правил и процедур, определяющих действия сотрудников при внесении изменений должен быть разработан и для процесса сканирования. Сканирование должно запускаться не только по расписанию, но и при:

вводе новых сервисов;
изменениях конфигураций;
обновлениях ОС и ПО;
подключении новых контрагентов и внешних точек входа.

5. Обучение сотрудников
Регулярная актуализация знаний отдела ИБ критически важна. Команда должна понимать, как работает весь процесс в целом, кто за что отвечает, как оценивать критичность, что и в какие сроки нужно закрывать.
6. Внешнюю проверку
Минимум раз в год необходимо проводить независимый пентест. Он позволяет обнаружить незакрытые уязвимости и оценить зрелость внутренних процессов.
Типичные ошибки
Даже при наличии и постоянном использовании сканера уязвимостей многие компании допускают ряд стандартных ошибок:

Неполная инвентаризация. Сканируются только учтённые активы, в то время как «теневая» инфраструктура компании остаётся без внимания. Часто в компании есть «забытые» временные серверы, тестовые лендинги, старые компьютеры, которые остаются вне поля зрения офицеров ИБ. Злоумышленники часто заходят в систему именно через такие «серые зоны».
Отсутствие приоритизации. Одинаковый балл CVSS не означает одинаковый риск. Важно учитывать контекст: насколько легко можно использовать ту или иную CVE, к чему она даёт доступ, и насколько критична сама система (например, если это бухгалтерия или ядро сайта – устранять CVE надо немедленно).
Разрозненные процессы. Сканер, CMDB, баг-трекер, DevOps — работают по отдельности. Нет сквозной логики и автоматизации. И что более важно – нет единой системы, которая бы доводила устранение уязвимостей до конца.
Отсутствие контроля и повторных проверок. Уязвимость может быть зафиксирована, задача поставлена — но устранение не контролируется, повторное сканирование не проводится. Итогом этого могут являться десятки неустраненных уязвимостей для эксплуатации злоумышленниками, когда отдел ИБ твёрдо уверен, что все слабые места устранены.
Редкий запуск сканирований. Сканирование раз в месяц — уже не актуально. За это время может быть опубликовано и использовано множество новых уязвимостей.

Как должен быть выстроен процесс регулярного сканирования
Учитывая типичные ошибки, описанные выше, мы рекомендуем организовывать процесс сканирования по следующим правилам:
1. Инвентаризация и автообнаружение
Любой актив, подключённый к корпоративной сети, должен автоматически обнаруживаться системой мониторинга и попадать в зону контроля. Не только серверы, но и ПК, ноутбуки, камеры, устройства IoT, тестовые стенды, облачные инстансы и т.д.
2. Сканирование не только по расписанию
Сканирование не должно запускаться только автоматически, следуя графику, но и при любых изменениях в инфраструктуре, а также вручную, если офицер ИБ хочет что-то перепроверить — здесь важна гибкость и сочетание подходов.
3. Контекстная приоритизация
С учётом CVSS, наличия эксплойта, сетевой доступности, критичности актива. Это поможет сфокусироваться на критически важных уязвимостях и не тратить время сотрудников ИБ-отдела на закрытие незначительных CVE.
4. Интеграция с внутренними системами
Помните, что сканер — это часть общей экосистемы, а не внешний инструмент, к которому вы прибегаете время от времени. Он обязательно должен взаимодействовать с CMDB, Service Desk, SIEM, DevOps внутри инфраструктуры вашей компании.
5. Контроль и подтверждение устранения
После выполнения задач должно проводиться повторное сканирование. Любая просрочка — сигнал для CISO внимательнее отнестись к той или иной зоне ответственности своих подчиненных.
6. Метрики и аналитика
MTTR, покрытие, динамика, критичность по группам. Эти данные дают управленческое понимание и возможность постоянного улучшения, позволяют видеть прогресс и аргументировать инвестиции в ИБ.
Критерии выбора сканера уязвимостей
Инструмент для сканирования CVE должен:

Быстро устанавливаться, не требовать тяжёлой инфраструктуры;
Поддерживать работу без агентов, охватывать любые устройства в сети;
Обновлять базы уязвимостей не реже, чем раз в сутки;
Иметь API и возможность интеграции в уже существующие процессы;
Поддерживать разграничение зон, отчёты, гибкую настройку режимов сканирования и ролей доступа в систему;
Поддерживать работу on-premise, в облаке или в гибридном режиме;
Поддерживать формирование подробных отчётов для руководства и аудита.

Но важно помнить, что сканер — лишь основа. Результат даёт именно выстроенный процесс и дисциплина в его исполнении.
Заключение
В условиях, когда активность злоумышленников растет год от года, их атаки автоматизированы, время между публикацией CVE и началом её эксплуатации измеряется минутами, любая компания, не выстроившая процесс регулярного сканирования уязвимостей, в итоге рискует дорого заплатить. Ущерб может исчислять не только финансовыми убытками, но и потерей репутации и доверия клиентов.
Регулярное и контекстно-ориентированное сканирование уязвимостей должно стать неотъемлемой частью корпоративной культуры в области информационной безопасности. Этот процесс требует не просто закупку необходимого инструментария, но стратегического мышления: распределения ответственности, интеграции с внутренними системами, контроля исполнения и анализа динамики. Без автоматизации, без интеграции с ИТ и ИБ-процессами, без приоритизации и контроля — это просто генерация отчётов «для галочки». Только при системном подходе ваша компания сможет реально управлять рисками и значительно снизить шансы злоумышленников на успешную инфильтрацию в корпоративные системы.

Автор: Никита Баранов, менеджер по развитию бизнеса ИБ-направления, компания Крайон.