Около 80% компаний считают качество сканирования ключевым критерием выбора VM‑систем

Введение

На протяжении последних лет эксплуатация уязвимостей остается одним из самых распространенных способов проникновения в сети организаций. На этом фоне инструменты управления уязвимостями становятся неотъемлемой частью защиты ИТ-инфраструктуры. Однако подходы к их выбору и применению существенно различаются в зависимости от масштаба организации, отрасли, зрелости процессов ИБ, уровня автоматизации, состава ИТ-ландшафта и требований регуляторов. Одни делают упор на качество и полноту сканирования, другие — на выстраивание процессов: приоритизацию, автоматизацию, контроль устранения. Третьи стараются комбинировать все доступные инструменты. Вендоры стремятся интегрировать эти возможности в единые системы, отвечающие реальным потребностям безопасности.

Чтобы глубже разобраться в приоритетах заказчиков и понять, какие задачи они решают в области управления уязвимостями, мы провели опрос среди наших заказчиков и партнеров — специалистов по ИБ, CISO, ИТ-руководителей и технических специалистов. Мы хотели узнать, какие функции востребованы, какие инструменты применяются на практике и что в итоге влияет на выбор VM-систем.

Также в течение 2024 года и в первом квартале 2025 года мы собирали и анализировали обратную связь от заказчиков, участвовавших в пилотных проектах по внедрению R‑Vision VM (результаты см. в разделе «Что показывают пилоты: практическая сторона выбора VM-систем»). Это позволило нам лучше понять, что именно важно для компаний в работе с уязвимостями — какие задачи они хотят решать, с какими трудностями сталкиваются и на что делают акцент при выборе решений.

Методология опроса

В опросе приняли участие 83 респондента из разных отраслей — финансовой, промышленной, ИТ, государственного сектора, нефтегаза, ритейла, транспорта, телекоммуникаций и энергетики. В выборке представлены как крупные корпорации (от 10 000 сотрудников), так и компании среднего (от 1 000 до 10 000 сотрудников) и малого масштабов (до 1 000 сотрудников).

Сбор данных осуществлялся через 3 канала:

• Очные опросы на R-EVOlution Conference 2025 — ежегодной отраслевой конференции R-Vision по кибербезопасности
• Анкетирование среди заказчиков R-Vision в рамках демонстрации продуктов на киберфестивале PHDays 2025
• E-mail рассылка среди заказчиков R-Vision

Большинство респондентов - представители крупного бизнеса (53%), 47% пришлось на компании среднего и малого бизнеса (36% и 11% соответственно). 

Опрос включал 3 блока вопросов, охватывающих:

• Текущий ландшафт используемых VM-инструментов;
• Критерии выбора VM-систем;
• Востребованность дополнительных функций.

Детальные результаты исследования

Текущий ландшафт VM-решений

Респондентам было предложено выбрать все используемые в их организациях инструменты управления уязвимостями. Результат видно на графике: он отражает распределение используемых решений в зависимости от размера компании.

Крупный бизнес: комплексные решения и высокая зрелость

Крупные компании демонстрируют наиболее зрелые подходы к управлению уязвимостями. Более половины из них (55%) используют полнофункциональные коммерческие VM-системы, еще 38% — гибридные подходы (например, сканер одного вендора, а VM - другого). Только 8% ограничиваются сканерами, и даже в этих случаях они, как правило, встроены в более широкие процессы. Ни одна из организаций в этом сегменте не указала, что только планирует внедрение. Всё это указывает на то, что крупный бизнес рассматривает управление уязвимостями как стратегически важное направление, требующее прозрачности, масштабируемости и глубокой интеграции с другими элементами ИБ-инфраструктуры.

Средний бизнес: между простотой и зрелостью

В сегменте среднего бизнеса подходы значительно разнообразнее. Примерно четверть компаний (26%) используют только сканеры — как правило, это open source или коммерческие сканеры. Чуть больше трети (35%) применяют гибридные решения, а ещё 32% уже внедрили полноценные VM-системы. 6% респондентов находятся на стадии планирования. Такое распределение показывает, что многие организации в этом сегменте находятся в переходной фазе — от простых инструментов к более зрелым системам. Выбор подхода, по-видимому, зависит от степени зрелости процессов, наличия ресурсов и готовности команды к изменениям.

Малый бизнес: минимальные инструменты и низкая вовлеченность

В малом бизнесе картина заметно отличается. Почти 80% компаний ограничиваются только сканерами — это либо open source-инструменты, либо коммерческие сканеры. Лишь 3% респондентов сообщили о внедрении более продвинутых решений. Кроме того, почти каждая пятая компания (19%) не использует инструменты VM вовсе и только планирует их внедрение. Это может свидетельствовать о нехватке ресурсов, дефиците компетенций или низком уровне зрелости процессов. Также подобная картина может отражать общую тенденцию для малого бизнеса, где вопросам ИБ традиционно отводится второстепенная роль. В таких условиях выбор, как правило, делается в пользу решений, не требующих значительных затрат и сложной настройки.

Общий тренд

По мере увеличения масштаба бизнеса растет и зрелость VM-подходов: от сканеров в малом бизнесе до полноценных VM-платформ в крупном. Это подчеркивает важность не только выбора инструмента, но и организационной готовности к системному управлению уязвимостями.

Критерии выбора VM-систем

Респондентам предлагалось оценить по 10-балльной шкале важность различных характеристик:

• Качество сканирования (широкое покрытие ОС, качественный детект уязвимостей с минимумом False Positive, высокая скорость, надежность, производительность);
• Функционал для построения процессов VM (интеграции с внешними системами в том числе SD, приоритизация уязвимостей, автоматизация создания задач и контроля устранения уязвимостей).
   

Наибольшее значение для пользователей инструментов VM-систем имеет именно качество сканирования — 78% респондентов поставили этому параметру оценку выше 8 из 10. В первую очередь это такие характеристики, как широкое покрытие ОС и приложений, высокая скорость сканирования, стабильность работы и минимум ложных срабатываний. Такой результат вполне ожидаем: заказчики воспринимают сканирование как базовую функцию VM-систем, от которой напрямую зависит весь дальнейший процесс.

Если система пропускает уязвимости, выдает слишком много ложных срабатываний или нестабильно работает — это подрывает доверие и делает крайне сложным выстраивание дальнейших процессов. Поэтому базовые технические характеристики получают наиболее высокие оценки.

В то же время функциональность, связанная с построением и автоматизацией процессов управления уязвимостями — например, интеграция с Service Desk, автоматизация создания задач, приоритизация и контроль устранения — оценивается чуть ниже. Это может быть связано с тем, что во многих организациях процессы управления уязвимостями еще только формируются, и основной акцент пока делается на качественное выявление уязвимостей, а не на их автоматизированную обработку.

Кроме того, внедрение таких процессов требует организационной зрелости, вовлечения нескольких подразделений (ИБ, ИТ, DevOps), а также наличия сопутствующих систем. Поэтому часть пользователей просто не использует этот функционал на практике, и, как следствие, не считает его приоритетным при выборе VM-системы.

Таким образом, можно сказать, что рынок все еще находится в стадии, когда основное внимание уделяется качеству технического контроля — в первую очередь точности и полноте сканирования, минимизации ложных срабатываний, скорости обнаружения уязвимостей и охвату ИТ-инфраструктуры.

Вместе с тем заметен устойчивый интерес и к процессной составляющей: автоматизации рабочих процессов, интеграции с другими системами ИБ и ИТ, управлению жизненным циклом уязвимостей, а также формированию прозрачной отчетности.

Дополнительно растет и востребованность продвинутой аналитики, включая корреляцию данных из различных источников, приоритизацию уязвимостей на основе контекста и рисков, а также использование технологий машинного обучения для прогнозирования угроз и повышения эффективности реагирования.

Дополнительные функции: что вызывает интерес у пользователей VM-инструментов

Сканеры уязвимостей стремительно развиваются — вместе с этим растут и ожидания пользователей. Помимо стандартных функций, таких как сканирование в различных режимах (White/Black box, Compliance), а также поддержка разных типов сканирования (агентского и безагентского сканирования), заказчики отмечают и ряд дополнительных возможностей, к которым они проявляют интерес. Эти функции не всегда входят в базовый набор VM-решений, но на практике они часто определяют удобство и эффективность эксплуатации системы.

Каждая из этих функций получила высокие баллы от представителей разных отраслей — и это неудивительно: потребности в области VM достаточно сильно зависят от специфики бизнеса.

Финансовый сектор и ИТ-компании чаще других выделяли аналитику и ML. Здесь традиционно высок уровень зрелости ИБ, большое число инцидентов и высокая доля автоматизации. В таких условиях аналитика с элементами машинного обучения помогает сократить ложные срабатывания, повысить эффективность приоритизации и ускорить реакцию на угрозы. Также в этом сегменте уделяют особое внимание аудиту контейнерных сред. Распространение DevOps-практик, CI/CD-пайплайнов и микросервисной архитектуры ставит на первый план задачи по контролю безопасности контейнерных инфраструктур.

Промышленность и энергетика ожидаемо оказались в числе тех, кто высоко оценил сканирование АСУ ТП. Это логично: специфичные протоколы, изолированные сегменты сети — всё это требует особого подхода. Появление специализированной функциональности в сканерах здесь воспринимается как серьезное преимущество.

Организации с большим числом публичных веб-ресурсов (банки, ритейл) чаще выделяют веб-сканирование как необходимую функцию — особенно если речь идет не только о типовых уязвимостях, но и о более сложных логических атаках.

Ретроспективное сканирование получило высокие оценки практически во всех отраслях, однако особенно востребованным оно оказалось в госсекторе и финансовой сфере. Компании из этих сегментов, как правило, обладают разветвленной ИТ-инфраструктурой и большим числом хостов, что делает полные сканирования ресурсоёмкими и трудозатратными.

Возможность ретроспективного анализа позволяет выявлять уязвимости в уже собранных данных без необходимости повторного сканирования. Это значительно снижает нагрузку на сеть и оптимизирует процессы анализа, особенно в условиях высокой регуляторной нагрузки и требований к контролю устойчивости ИТ-среды во времени.

Дополнительные функции (аудит контейнерных сред, веб-аудит, сканирование АСУ ТП, ретроспективное сканирование и другие) вызывают интерес в разных отраслях, но не определяют выбор — скорее, подчеркивают актуальные зоны внимания. Финансовые компании и ИТ — чаще говорят об аналитике и ML, промышленность — о сканировании специфичных сред, ритейл и банки — о защите публичных веб-ресурсов. Это говорит о том, что отраслевая специфика влияет на акценты, но базовые ожидания от VM-систем остаются универсальными.

Что показывают пилоты: практическая сторона выбора VM-систем

Если опрос позволяет увидеть обобщенную картину ожиданий и приоритетов пользователей, то пилотные проекты — это уже реальные сценарии применения на живой инфраструктуре, в которых ожидания сталкиваются с практикой. За последний год мы провели более 70 пилотов R-Vision VM в различных компаниях — от крупных корпораций до организаций среднего масштаба, из разных отраслей.

Практика показывает, что заказчики подходят к оценке качества сканирования системно. Условно все проверки можно разделить на два блока: организационные (документальные) и инструментальные (практические).

По нашей статистике, качество сканирования остается в фокусе внимания: на него сделали акцент 74% участников пилотных проектов. Мы отнесли к этой категории те компании, которые провели минимум два типа проверок из набора организационных и три инструментальных оценки. Это лишний раз подтверждает результаты анкетирования и подчеркивает: именно надежное и точное выявление уязвимостей становится базой доверия к системе.

Организационная (документальная) оценка

На графике ниже показано, насколько часто на пилотах компании проверяют формальные и информационные аспекты работы VM-сканеров: 

• 92% анализировали документацию вендора, оценивая заявленное покрытие операционных систем, прикладного ПО, сетевого оборудования, СУБД и других компонентов.
• 86% обращали внимание на содержание карточек уязвимостей — наличие структурированной информации, включая CVSS, EPSS, ссылки на эксплойты и патчи, рекомендации по устранению и данные о трендовых уязвимостях.
• 81% оценивали качество базы уязвимостей: частоту и источники обновлений, правила детектирования и прочие параметры.

Эти проверки можно считать базовым (“гигиеническим”) минимумом: их так или иначе проводило большинство участников пилотирования.

Инструментальная оценка

График ниже демонстрирует, какие инструментальные проверки и как часто используются участниками пилотов для оценки качества сканирования:

 

• 100% проводили базовую проверку: запуск сканера на различных ОС, контроль корректности определения системы, установленного ПО и выявления релевантных уязвимостей.
• 62% проводили динамическую оценку устранения уязвимостей, сопоставляя результаты сканирования до и после их устранения и проверяя, насколько корректно сканер фиксирует изменения.
• В 23% использовали эталонные образы с заранее известными уязвимостями для оценки точности детектирования и выявления ложных срабатываний (False Positive/False Negative). Одина из самых трудоемких и ресурсозатратных проверок.
• 47% сравнивали результаты сканирования с другими решениями (Nessus Essentials, OpenVAS, OpenSCAP, коммерческие продукты), чтобы оценить относительное качество обнаружения.
• 45% выборочно проверяли корректность рекомендаций: ссылки на эксплойты, патчи, рекомендации по устранению, а также актуальность CVSS-оценок.
• 64% проверяли актуальность базы уязвимостей, отслеживая появление новых уязвимостей в открытых источниках и отражение этих данных в базе сканера.
• 15% выполняли нагрузочные тесты с замером скорости сканирования на нескольких тысячах хостов — трудоемкая, но показательная проверка производительности. Как правило, данную проверку проводили команды из крупных компаний. Для них важно укладываться в технологические окна и оперативно получать данные для устранения уязвимостей. 
   

Помимо запланированных проверок, на которые у вас выделены ресурсы, мы рекомендуем обязательно включать в процесс и следующие этапы:

• Выполняйте все три организационные проверки — это базовый минимум, позволяющий оценить зрелость и актуальность сканера: какие платформы поддерживаются, насколько полно и структурировано оформлены карточки уязвимостей, как часто и из каких источников обновляется база.
• Проверяйте актуальность базы уязвимостей и выборочно сверяйте данные карточек (CVSS, ссылки на эксплойты и патчи) с публичными источниками, такими как NVD и вендорские отчеты. Это простая, но очень информативная проверка.

Даже выполнение этих базовых шагов даёт значительно более точное и обоснованное представление о качестве сканера уязвимостей в условиях вашей инфраструктуры. Не стоит пренебрегать такими проверками — на них потребуется совсем немного времени, а польза от них будет несопоставимо выше.