Анализ уязвимости
Обновлено: 03.03.2026
Что такое анализ уязвимостей
Анализ уязвимостей — это системный процесс поиска и оценки слабых мест в ИТ-инфраструктуре компании до того, как ими воспользуются злоумышленники. Он работает по принципу профилактического медосмотра: специалисты проверяют сети, серверы, приложения и базы данных, чтобы найти «болевые точки» снижая вероятность успешной атаки. Для бизнеса это возможность узнать о рисках заранее и устранить их, не дожидаясь утечки данных, простоя сервисов или штрафов от регуляторов.
Контролируемая проверка ИТ-инфраструктуры на наличие слабых мест, которые могут быть использованы для несанкционированного доступа, нарушения работы систем или компрометации данных.
Определение и базовые термины
Чтобы понять суть анализа уязвимостей, важно разобраться в четырех ключевых понятиях информационной безопасности:
- Уязвимость — слабое место или недостаток в системе, программном обеспечении, конфигурации или процессах, через которое можно нарушить безопасность.
- Угроза — потенциальное событие или действие, способное использовать уязвимость и причинить ущерб компании от кражи данных до остановки бизнес-процессов.
- Риск — вероятность реализации угрозы и возможный ущерб от неё, измеряемый в финансовых, репутационных или операционных потерях.
- Анализ уязвимостей — процесс выявления, классификации и оценки этих слабых мест для принятия обоснованных решений об их устранении.
Уязвимость, угроза и нарушитель простыми словами
Представьте квартиру с незапертой входной дверью. Уязвимость — это сама незапертая дверь, слабое место в защите. Угроза — это возможность, что кто-то войдет и украдет вещи. Нарушитель (злоумышленник) — конкретный человек, который заметил открытую дверь и решил этим воспользоваться.
В мире информационных технологий работает та же логика:
- Уязвимость системы: Незапертая дверь → Сервер с устаревшим ПО, в котором есть известная ошибка безопасности
- Угроза безопасности: Возможность кражи из квартиры → Риск несанкционированного доступа к базе данных клиентов через эту ошибку
- Нарушитель (злоумышленник): Вор, увидевший открытую дверь → Хакер или вредоносная программа, сканирующие Интернет в поисках уязвимых серверов для атаки
Анализ уязвимостей — это когда вы сами проверяете все «двери и окна» своей ИТ-инфраструктуры, находите незапертые или хрупкие, и укрепляете их до того, как это заметит нарушитель.
Зачем нужен анализ уязвимостей
Компании анализируют уязвимости не для «галочки», а чтобы не потерять деньги, клиентов и данные в результате кибератак. Без регулярной проверки ИТ-инфраструктуры растет вероятность успешного взлома: злоумышленники находят слабые места быстрее, чем их обнаруживает внутренняя команда. С системным анализом уязвимостей компания переходит от реагирования на инциденты к их предотвращению — выявляет и закрывает «дыры» до того, как их эксплуатируют, управляет рисками осознанно и снижает ущерб от потенциальных атак.
Сценарий «до»: Интернет-магазин не проверял уязвимости веб-приложения. Хакеры использовали известную ошибку в платежном модуле, получили доступ к базе с картами клиентов. Результат — утечка 50 000 записей, штраф регулятора, судебные иски и отток покупателей.
Сценарий «после»: Та же компания начала ежеквартальный анализ уязвимостей. Критическая ошибка в API обнаружена и устранена за неделю, до публикации эксплойта. Инцидент предотвращён, бизнес работает без сбоев.
Бизнес-риски и последствия инцидентов
Когда компания игнорирует анализ уязвимостей, не выявленные слабые места рано или поздно приводят к инцидентам с реальными бизнес-последствиями. Эксперты выделяют четыре ключевых категории ущерба:
Прямые финансовые потери
Кража денег со счетов, вымогательство (шифровальщики-ransomware требуют выкуп за расшифровку данных), затраты на расследование инцидента и восстановление систем. Средний ущерб от одной успешной кибератаки на среднюю компанию исчисляется миллионами рублей.
Операционные потери и простой сервисов
Остановка производства, интернет-магазина или внутренних систем из-за атаки или необходимости «лечения» инфраструктуры. Каждый час простоя критичного сервиса оборачивается упущенной выручкой и срывом обязательств перед клиентами.
Юридические последствия и штрафы регуляторов
Утечка персональных данных влечёт санкции от Роскомнадзора, невыполнение требований ЦБ или ФСТЭК — административные штрафы и ограничение деятельности. Для отдельных отраслей (финансы, здравоохранение) штрафы могут достигать процентов от годовой выручки.
Репутационные потери и отток клиентов
Новости об утечке данных или взломе подрывают доверие: клиенты уходят к конкурентам, партнёры пересматривают контракты, инвесторы снижают оценку компании. Восстановление репутации после крупного инцидента занимает годы и требует дополнительных маркетинговых затрат.
Роль анализа уязвимостей в информационной безопасности и управлении рисками
Анализ уязвимостей — не разовое мероприятие перед аудитом, а базовый элемент непрерывного процесса управления уязвимостями и рисками информационной безопасности. Он встроен в общий цикл защиты и работает в связке с другими практиками ИБ.
Цикл управления уязвимостями:
- Мониторинг и обнаружение — отслеживание новых уязвимостей в используемом ПО, бюллетеней безопасности вендоров, угроз в публичных базах (CVE, NVD)
- Анализ и оценка — сканирование инфраструктуры, ручные проверки, определение, какие из известных уязвимостей присутствуют в системах компании и насколько они критичны
- Приоритизация и планирование — формирование списка задач по устранению с учётом рисков для бизнеса, доступных ресурсов и сроков
- Устранение и контроль — внедрение патчей, изменение конфигураций, установка компенсирующих мер; перепроверка результатов
- Повторный цикл — регулярный запуск анализа (ежеквартально, после изменений инфраструктуры, при появлении критичных угроз)
Связь с другими процессами ИБ:
- Тестирование на проникновение (пентест) — углублённая проверка возможности эксплуатации найденных уязвимостей в реальных сценариях атак
- Мониторинг событий безопасности (SOC/SIEM) — отслеживание попыток использования уязвимостей в реальном времени
- Управление инцидентами — данные анализа уязвимостей помогают быстрее расследовать причины инцидентов
- Обучение персонала — результаты анализа показывают, где нужно усилить осведомлённость сотрудников (например, при обнаружении фишинг-уязвимостей)
Регулярный анализ превращает информационную безопасность из набора точечных мер в управляемый процесс снижения рисков, где компания знает свои слабые места и целенаправленно их укрепляет.
Какие уязвимости и угрозы анализируют
Анализ охватывает весь спектр потенциальных слабых мест компании — от технических ошибок в коде и конфигурациях до человеческого фактора и организационных процессов. Специалисты проверяют сетевую инфраструктуру (маршрутизаторы, межсетевые экраны), серверы и рабочие станции, веб-приложения и мобильные сервисы, базы данных, а также оценивают, насколько сотрудники и внутренние регламенты могут стать «слабым звеном». Этот комплексный подход позволяет увидеть полную картину рисков: злоумышленник может атаковать не только через техническую «дыру», но и через невнимательного сотрудника или недостаток в процессах управления доступом.
Основные области анализа уязвимостей:
- Сетевая инфраструктура — маршрутизаторы, коммутаторы, VPN, межсетевые экраны
- Хосты и конечные точки — серверы, рабочие станции, мобильные устройства, виртуальные машины
- Приложения — веб-сервисы, корпоративные системы, мобильные приложения, API
- Данные и хранилища — базы данных, файловые серверы, облачные хранилища
- Человеческий фактор — осведомлённость персонала, подверженность социальной инженерии
- Организационные процессы — политики безопасности, управление доступом, реагирование на инциденты
Типовые объекты анализа
При анализе уязвимостей эксперты последовательно проверяют все слои ИТ-инфраструктуры, от сетевого периметра до уровня данных. Каждый тип объекта имеет характерные слабые места, связанные с его функциями и особенностями эксплуатации.
| Объект анализа | Типичные уязвимости | Примеры последствий |
| Сетевое оборудование и периметр | Открытые порты и сервисы, устаревшие протоколы (Telnet, SMBv1), слабые пароли на администрирование, отсутствие сегментации сети | Несанкционированный доступ к внутренней сети, перехват трафика, атаки типа «человек посередине» (MITM) |
| Серверы и хосты | Неустановленные обновления безопасности, уязвимости в ОС и системных службах, избыточные права учётных записей, отключенные механизмы защиты | Компрометация сервера, установка вредоносного ПО, использование как плацдарма для атак на другие системы |
| Рабочие станции пользователей | Устаревшее ПО, отсутствие антивируса, локальные права администратора у пользователей, незащищённые данные на дисках | Заражение ransomware, кража учётных данных, утечка конфиденциальной информации с компьютеров |
| Веб-приложения и API | SQL-инъекции, межсайтовый скриптинг (XSS), ошибки авторизации и аутентификации, небезопасная десериализация, раскрытие чувствительной информации | Утечка баз данных клиентов, изменение контента сайта, кража сессий пользователей, выполнение произвольного кода на сервере |
| Базы данных | Слабые пароли, чрезмерные привилегии учётных записей приложений, отсутствие шифрования данных в покое, уязвимости СУБД | Массовая утечка персональных и платёжных данных, удаление или изменение критичной информации |
| Облачные сервисы и контейнеры | Неправильные настройки доступа, публично доступные хранилища S3/Azure Blob, отсутствие многофакторной аутентификации, уязвимые образы контейнеров | Утечка данных из облака, несанкционированный доступ к инфраструктуре, компрометация всей облачной среды |
Специалисты используют автоматизированные сканеры для первичного выявления известных уязвимостей в каждом типе объектов, затем проводят ручную проверку для подтверждения и оценки реальной опасности.
Источники угроз
Уязвимости сами по себе не причиняют вред — их должен кто-то или что-то использовать. Анализ уязвимостей учитывает весь спектр потенциальных источников угроз, от целенаправленных кибератак до случайных ошибок и форс-мажоров.
Внешние угрозы
Хакеры-одиночки, организованные киберпреступные группы, хактивисты и спонсируемые государствами группировки, которые атакуют из Интернета в поисках данных, денег или для саботажа. Они используют автоматизированные сканеры для массового поиска уязвимых систем и целенаправленные атаки на конкретные компании.
Пример: группа взламывает веб-сервер через уязвимость в CMS и устанавливает шифровальщик-ransomware.
Внутренние угрозы
Действующие или уволенные сотрудники, подрядчики, партнёры с доступом к внутренним системам. Угроза может быть умышленной (месть, шпионаж, кража данных для продажи) или непреднамеренной (ошибка конфигурации, случайная утечка, переход по фишинговой ссылке).
Пример: администратор случайно открывает доступ к базе данных из Интернета, системный аналитик уносит клиентскую базу на флешке при увольнении.
Техногенные угрозы
Сбои оборудования, ошибки в программном обеспечении, проблемы с электропитанием, отказы систем резервирования. Эти события не связаны со злым умыслом, но могут создать условия для реализации других угроз или напрямую привести к простою и потере данных.
Пример: сбой в системе обновлений приводит к массовому отключению серверов, неудачное обновление ПО открывает новую уязвимость.
Природные и физические угрозы
Пожары, наводнения, перебои электроснабжения, физическое проникновение в серверные помещения. Хотя они не эксплуатируют технические уязвимости напрямую, отсутствие физической защиты и планов непрерывности бизнеса рассматривается как организационная уязвимость.
Пример: затопление ЦОДа приводит к потере данных из-за отсутствия резервного копирования в другую локацию.
Способы реализации атак и векторы атаки
Вектор атаки — это путь или метод, которым злоумышленник использует уязвимость для достижения своей цели. Понимание возможных векторов критически важно для анализа уязвимостей: одна и та же техническая проблема может быть опасной или малозначимой в зависимости от того, откуда и как её можно эксплуатировать.
| Вектор атаки | Как работает | |
| Сетевой (Network) | Атака через сетевое соединение из Интернета или внутренней сети без физического доступа к системе | |
| Смежная сеть (Adjacent Network) | Эксплуатация требует доступа к локальной сети (Wi-Fi, корпоративная LAN), но не обязательно к конкретному хосту | |
| Локальный (Local) | Злоумышленник должен иметь локальный доступ к системе (консоль, SSH, RDP) с низкими привилегиями | |
| Физический (Physical) | Требуется физический доступ к оборудованию: подключение к портам, извлечение дисков, загрузка с внешних носителей | |
| Социальная инженерия (Human) | Манипуляция пользователями через фишинг, вишинг (звонки), претекстинг для получения учетных данных или выполнения вредоносных действий |
Мини-кейс «Цепочка векторов»
Хакер находит уязвимость в веб-приложении компании, доступном из Интернета (сетевой вектор). Через SQL-инъекцию получает учётные данные администратора. Используя эти данные, подключается к внутренней сети по VPN (смежная сеть), затем находит сервер с непропатченной уязвимостью повышения привилегий (локальный вектор) и получает полный контроль над инфраструктурой.
Основные подходы и методы анализа
Для выявления уязвимостей используют три основных подхода: автоматизированное сканирование, ручные проверки экспертами и анализ исходного кода с конфигурациями. Автоматика быстро находит известные проблемы в сотнях систем, ручные методы имитируют реальные атаки и оценивают бизнес-контекст, а проверка кода выявляет слабости еще до выхода приложения в продуктивную среду. Эти методы не конкурируют, а дополняют друг друга: зрелые компании комбинируют их в зависимости от целей (регулярный контроль, глубокий аудит, безопасная разработка) и имеющихся ресурсов. Стартапам достаточно начать с автоматического сканирования периметра, крупному бизнесу с критичными данными нужен полный цикл — от анализа кода до регулярных пентестов.
| Метод | Как работает | Плюсы | Ограничения |
| Автоматизированное сканирование | Специальные программы (сканеры) проверяют системы по базам известных уязвимостей, анализируют конфигурации и открытые сервисы | Высокая скорость, покрытие большого числа систем, низкая стоимость, возможность регулярного запуска | Ложные срабатывания, пропуск логических ошибок и уязвимостей бизнес-логики, нет оценки реального ущерба |
| Ручные проверки (пентест, анализ защищенности) | Эксперты по ИБ имитируют действия злоумышленника, пытаются эксплуатировать уязвимости и выстроить цепочки атак | Глубокая оценка рисков, выявление сложных уязвимостей, учёт бизнес-контекста, проверка реальной эксплуатируемости | Высокая стоимость, требует времени, зависит от квалификации специалистов, не масштабируется на всю инфраструктуру |
| Анализ кода и конфигураций | Статический/динамический анализ исходного кода приложений, ревью настроек систем и политик безопасности | Превентивное выявление проблем до релиза, нахождение логических ошибок, интеграция в CI/CD (DevSecOps) | Требует доступа к коду, генерирует много ложно положительных срабатываний (false positives), нужна экспертиза для интерпретации результатов |
Автоматизированное сканирование уязвимостей
Сканеры уязвимостей — это специализированное ПО (Nessus, OpenVAS, Qualys, MaxPatrol и др.), которое автоматически проверяет ИТ-инфраструктуру на наличие известных слабых мест. Они работают по принципу «база знаний + проверочные скрипты»: сканер обращается к системам по сети, определяет версии ПО и сервисов, сравнивает их с базой уязвимостей (CVE, бюллетени вендоров) и проверяет типовые ошибки конфигурации. Процесс занимает от нескольких минут до нескольких часов в зависимости от размера инфраструктуры, при этом не требует постоянного участия человека.
Что умеет сканер:
- Быстро проверить сотни и тысячи хостов, находя уязвимости в ОС, сетевых службах, веб-серверах.
- Обнаружить устаревшие версии ПО с известными проблемами безопасности.
- Выявить типовые ошибки конфигурации: слабые пароли по умолчанию, открытые административные порты, отсутствие шифрования.
- Сформировать отчёт с перечнем уязвимостей, их критичностью (CVSS) и рекомендациями по устранению.
- Запускаться по расписанию для регулярного мониторинга состояния защищенности.
Чего не умеет сканер:
- Выявлять уникальные логические уязвимости в бизнес-логике приложений.
- Оценивать реальную опасность в контексте конкретной компании, что критично для бизнеса, а что нет.
- Строить сложные цепочки атак, комбинируя несколько слабых мест.
- Избегать всех ложных срабатываний, часть найденных «уязвимостей» окажутся неприменимыми).
Идеальные задачи для сканирования это регулярная проверка периметра и внешних сервисов (еженедельно/ежемесячно), инвентаризация проблем после установки обновлений или изменений в инфраструктуре, быстрая проверка на соответствие базовым требованиям безопасности.
Ручные методы: тестирование на уязвимости и анализ защищенности
Тестирование на проникновение (пентест) и анализ защищенности — ручные методы, при которых эксперты по информационной безопасности имитируют действия реального злоумышленника. В отличие от сканера, который просто сообщает «здесь есть уязвимость», пентестер пытается её использовать, выстроить цепочку атаки (от первичного проникновения до доступа к критичным данным) и оценить реальный ущерб для бизнеса. Это позволяет понять не только «что сломано», но и «насколько это опасно в нашем конкретном случае».
Как работает ручная проверка:
Специалист начинает с разведки (сбор информации о компании, инфраструктуре, сотрудниках), затем ищет точки входа — уязвимости, доступные извне или изнутри периметра. Найдя слабое место, он не просто фиксирует его, а пытается эксплуатировать, получить доступ к системе, повысить привилегии, переместиться к другим узлам сети (lateral movement), добраться до целевых данных. Каждый шаг документируется, формируется отчет с описанием векторов атак, скриншотами и конкретными рекомендациями.
Сравнение сканер vs пентест:
| Критерий | Автоматический сканер | Ручной пентест |
| Скорость | Часы, можно проверить всю сеть | Дни/недели, фокус на критичных системах |
| Глубина | Поверхностная, известные проблемы | Глубокая, включая логические ошибки |
| Контекст | Нет оценки влияния на бизнес | Учитывает специфику и приоритеты компании |
| Эксплуатация | Только обнаружение уязвимости | Реальная проверка возможности атаки |
| Стоимость | Низкая | Высокая (труд квалифицированных экспертов) |
Ручные проверки медленнее и дороже автоматики, но они дают понимание реальных сценариев атак и помогают расставить приоритеты в защите: где усилить контроль, какие уязвимости закрывать в первую очередь.
Анализ кода и ошибки конфигурации
Значительная часть уязвимостей появляется не в процессе эксплуатации систем, а на этапе разработки приложений и первичной настройки инфраструктуры. Анализ исходного кода (SAST — Static Application Security Testing) и проверка конфигураций позволяют находить и устранять эти проблемы до того, как они попадут в продуктивную среду и станут доступны злоумышленникам.
Анализ исходного кода включает автоматическое и ручное изучение программного кода на предмет небезопасных конструкций: SQL-инъекций, некорректной обработки пользовательского ввода, «зашитых» паролей и ключей, слабых алгоритмов шифрования, ошибок в логике авторизации. Современные инструменты (SonarQube, Checkmarx, PT Application Inspector) интегрируются в процесс разработки (CI/CD-конвейер) и проверяют код автоматически при каждом коммите, не давая небезопасному коду попасть в релиз.
Анализ конфигураций фокусируется на настройках систем, сетевого оборудования, облачных сервисов и политик безопасности: избыточные права доступа, публично открытые хранилища данных, использование устаревших протоколов, отключенные механизмы защиты. Ошибки конфигурации (misconfiguration) — одна из главных причин утечек данных в облаках, по статистике, значительная доля инцидентов в облаках связана с ошибками конфигурации доступа.
Типичные находки при анализе:
- Хранение паролей и API-ключей прямо в коде или конфигурационных файлах
- Отсутствие проверки и фильтрации пользовательского ввода (уязвимости инъекций)
- Использование небезопасных функций и библиотек с известными проблемами
- Слабая или отсутствующая авторизация на критичных функциях приложения
- Избыточные права сервисных учётных записей «принцип наименьших привилегий» не соблюдён
- Открытые отладочные интерфейсы и конечные точки (endpoints) в продуктивной среде
- Отсутствие шифрования данных в передаче и хранении
Превентивный подход — встраивание анализа безопасности в процесс разработки (DevSecOps) — позволяет сэкономить ресурсы, исправить ошибку в коде на этапе разработки в разы дешевле, чем устранять последствия взлома готовой системы.
Этапы процесса анализа уязвимостей
Анализ уязвимостей — не разовое действие «нажал кнопку и получил отчёт», а структурированный процесс из нескольких последовательных этапов. Если компания заказывает анализ, её ждёт такая последовательность, сначала определяются границы проверки и собирается информация об активах, затем запускаются сканеры и проводятся ручные проверки. После чего эксперты анализируют результаты, отсеивают ложные срабатывания и формируют приоритизированный список уязвимостей с рекомендациями. Весь цикл от подготовки до итогового отчёта занимает от нескольких дней для небольшой инфраструктуры, до нескольких недель для комплексного анализа крупной компании.
Инвентаризация ИТ-активов и сбор данных
Качественный анализ невозможен без чёткого понимания, что именно проверяется и насколько это критично для бизнеса. На этапе подготовки команда ИБ и заказчик совместно определяют границы анализа (весь периметр или только внешние сервисы, отдельные сегменты сети), составляют перечень систем, приложений и данных, которые нужно проверить, и оценивают их значимость для компании. Без этой «карты местности» легко пропустить критичные активы или потратить ресурсы на проверку второстепенных систем.
Что собирают на этапе подготовки:
- IP-адреса и доменные имена — внешние сервисы, внутренние подсети, диапазоны адресов для сканирования
- Перечень систем и их роли — веб-серверы, базы данных, почтовые серверы, файловые хранилища, что они обслуживают
- Используемое ПО и версии — операционные системы, СУБД, веб-приложения, сетевое оборудование (если известно заранее)
- Бизнес-критичность активов — какие системы обрабатывают платежи, персональные данные, обеспечивают ключевые процессы
- Учётные записи для проверки — если планируется углублённое сканирование «изнутри» с авторизацией
- Ограничения и окна обслуживания — когда можно проводить проверки, чтобы не нарушить работу бизнеса
Сканирование и выявление слабых мест
После подготовки начинается фактический поиск уязвимостей: к системам компании «подключаются» специализированные инструменты и эксперты, которые методично проверяют каждый актив из списка. Процесс полностью контролируемый и безопасный для бизнеса — сканеры настроены так, чтобы не перегружать системы и не вызывать сбоев, а любые потенциально опасные действия согласовываются заранее.
Типы проверок на этапе сканирования:
- Сетевое сканирование — проверка открытых портов, доступных сервисов, анализ сетевой архитектуры и сегментации
- Сканирование хостов — выявление уязвимостей в ОС, установленном ПО, отсутствующих обновлений безопасности
- Проверка веб-приложений — поиск SQL-инъекций, XSS, ошибок авторизации, небезопасных настроек серверов
- Анализ конфигураций — проверка настроек безопасности серверов, СУБД, межсетевых экранов, облачных сервисов
- Аутентифицированное сканирование — углублённая проверка «изнутри системы» с использованием предоставленных учётных записей для выявления локальных уязвимостей
Автоматические сканеры генерируют первичный список найденных проблем — от нескольких десятков до нескольких тысяч записей в зависимости от размера инфраструктуры. Параллельно эксперты проводят ручные проверки критичных компонентов, тестируют бизнес-логику приложений и сценарии, которые не покрывают автоматические инструменты.
Весь этап занимает от нескольких часов, простое внешнее сканирование, до нескольких дней при комплексной проверке с углублённым анализом.
Анализ результатов и подтверждение уязвимостей
Сырой отчёт сканера — это ещё не готовый результат. Автоматические инструменты часто выдают ложные срабатывания, не учитывают контекст инфраструктуры и не могут оценить реальную опасность найденной проблемы для конкретной компании. На этапе анализа эксперты вручную проверяют каждую значимую находку подтверждают, что уязвимость действительно существует и эксплуатируема, оценивают потенциальные сценарии атаки и возможный ущерб, группируют связанные проблемы и отбрасывают нерелевантные записи.
Пример фильтрации и приоритизации:
Что найдено сканером | После проверки экспертом | Решение |
| Критическая уязвимость Apache Struts на веб-сервере (CVSS 9.8 | Подтверждено: версия уязвима, сервер доступен из Интернета, через него можно получить удалённое выполнение кода | Приоритет 1: Закрыть немедленно, патч в течение 24 часов |
| SQL-инъекция в форме поиска (CVSS 8.5) | Ложное срабатывание: форма корректно экранирует ввод, инъекция невозможна | Не уязвимость: Исключить из списка |
| Устаревшая версия OpenSSL с уязвимостью (CVSS 7.5) | Подтверждено, но сервер работает только во внутренней сети, доступ строго ограничен, данные не критичны | Приоритет 3: Обновить в плановом окне через 2 недели |
| Слабый пароль на тестовом сервере (CVSS 5.0) | Подтверждено, но сервер изолирован и не содержит реальных данных | Приоритет 4: Усилить парольную политику, но не критично |
| Отсутствие заголовков безопасности HTTP (CVSS 4.0) | Подтверждено: нет Content-Security-Policy и X-Frame-Options, но эксплуатация сложна | Приоритет 2: Добавить заголовки в следующем релизе |
Этот этап требует экспертизы и занимает значительное время, но именно здесь формируется реальная ценность анализа уязвимостей из хаоса тысяч записей рождается понятный, приоритизированный список задач с чёткими рекомендациями, что делать в первую очередь, а что может подождать.
Результатом становится структурированный отчёт с классификацией уязвимостей по уровням риска, описанием векторов атак, доказательствами (скриншоты, логи) и конкретными шагами по устранению.
Оценка критичности и приоритизация исправлений
После того как уязвимости найдены и подтверждены, перед компанией встаёт практический вопрос, что устранять в первую очередь, а что может подождать. Закрыть все проблемы одновременно невозможно — не хватит ни времени, ни ресурсов ИТ-команды, поэтому нужна приоритизация. Эксперты оценивают каждую уязвимость по двум ключевым параметрам: насколько легко её эксплуатировать и насколько серьёзный ущерб она может причинить бизнесу. Чем выше вероятность атаки и потенциальные потери, тем выше приоритет устранения. Для стандартизации оценки используют международную систему CVSS (Common Vulnerability Scoring System), которая присваивает уязвимостям баллы от 0 до 10, но финальное решение всегда учитывает контекст конкретной компании: критичность активов, наличие компенсирующих мер, доступные ресурсы.
| Уровень критичности | Что означает | Примеры |
| Критический | Уязвимость легко эксплуатируется удалённо без авторизации, последствия катастрофические (полная компрометация, утечка всех данных) | Удалённое выполнение кода на публичном веб-сервере, SQL-инъекция с доступом ко всей БД клиентов |
| Высокий | Возможна серьёзная компрометация, но требуются определённые условия (частичный доступ, взаимодействие пользователя) | Повышение привилегий до администратора, XSS с кражей сессий, доступ к внутренним системам через VPN |
| Средний | Уязвимость усложняет эксплуатацию или последствия ограничены, но риск всё ещё значимый | Раскрытие части конфиденциальной информации, атаки типа DoS на второстепенные сервисы |
| Низкий | Эксплуатация сложна, требует значительных усилий, или последствия минимальны | Утечка версии ПО, отсутствие заголовков безопасности без реальной возможности атаки |
Уровни вероятности и частоты реализации угроз
При оценке риска уязвимости недостаточно смотреть только на потенциальный ущерб — важно понимать, насколько вероятно, что злоумышленник реально попытается её использовать и как часто такие атаки происходят. Представьте две ситуации: редкая, но разрушительная атака, например, физическое проникновение в ЦОД, требующее месяцев подготовки и частая, умеренно опасная автоматизированное сканирование публичных серверов на известные уязвимости, происходящее тысячи раз в день. Вторая может оказаться опаснее, потому что её вероятность близка к 100%, если уязвимость не закрыта.
Уровни вероятности реализации угрозы:
| Уровень | Характеристика | Как учитывается |
| Высокая вероятность | Уязвимость широко известна, есть публичные эксплойты, массовое сканирование ботами, не требует специальных навыков | Устранять немедленно, даже если потенциальный ущерб средний — атака произойдёт с высокой вероятностью |
| Средняя вероятность | Уязвимость известна в узких кругах, требует определённых навыков или условий для эксплуатации | Планировать устранение в ближайшие недели, особенно на критичных системах |
| Низкая вероятность | Эксплуатация требует глубоких знаний, физического доступа или маловероятного стечения обстоятельств | Может быть отложено или устранено компенсирующими мерами (мониторинг, ограничение доступа) |
| Практически невозможна | Теоретическая уязвимость, требующая нереалистичных условий для эксплуатации | Принять риск, документировать, но не тратить ресурсы на исправление |
Эта логика помогает принимать взвешенные решения: уязвимость с «высокими последствиями, но низкой вероятностью» может быть менее приоритетной, чем проблема со «средними последствиями, но высокой вероятностью», особенно если ресурсы ограничены.
Классификация по уровням риска и CVSS
CVSS (Common Vulnerability Scoring System) — это международная стандартизованная система оценки уязвимостей, которая присваивает каждой из них числовой балл от 0,0 до 10,0. Чем выше балл, тем опаснее уязвимость с технической точки зрения. Система учитывает множество факторов: сложность эксплуатации, необходимость авторизации, вектор атаки (сетевой, локальный, физический), влияние на конфиденциальность, целостность и доступность данных. CVSS помогает специалистам по безопасности и бизнесу говорить на одном языке: вместо субъективных оценок «это серьёзно» есть объективная метрика.
Классификация CVSS и рекомендуемые действия:
| Диапазон CVSS | Уровень риска | Что означает | Типовые действия |
| 9,0–10,0 | Критический | Уязвимость легко эксплуатируется удалённо, последствия катастрофические для всей системы | Экстренное устранение в течение 24–48 часов, остановка уязвимого сервиса до закрытия, если возможно |
| 7,0–8,9 | Высокий | Серьёзная угроза, возможна значительная компрометация данных или систем | Приоритетное устранение в течение 7 дней, временные компенсирующие меры (блокировка доступа, дополнительный мониторинг) |
| 4,0–6,9 | Средний | Умеренная угроза, эксплуатация сложнее или последствия ограничены | Планирование исправления в течение 30 дней, включение в регулярные обновления |
| 0,1–3,9 | Низкий | Минимальный риск, эксплуатация очень сложна или влияние незначительно | Устранение в плановом порядке (при следующем обновлении) или принятие риска с документированием |
Важно понимать, что CVSS — это базовая оценка, которую нужно корректировать под специфику компании. Уязвимость с баллом 9,5 на внутреннем тестовом сервере без доступа к важным данным может быть менее приоритетной, чем проблема с баллом 6,0 на публичном платёжном сервисе. Поэтому CVSS дополняется экспертной оценкой бизнес-контекста.