По результатам нашего недавнего исследования среди специалистов по ИБ и ИТ, 78% участников назвали качество сканирования главным фактором при выборе VM-системы. Этот вывод подтверждается и нашими пилотными проектами: заказчики могут сравнивать функциональные возможности, интеграции и удобство интерфейса, но в итоге все упирается в один критерий — насколько точно и полно решение выявляет уязвимости.
Эта тема вызвала большой интерес: на одном из наших вебинаров, посвященных разбору системы R-Vision VM, чаще всего звучали вопросы
о качестве сканирования и его практических аспектах. Мы решили собрать некоторые из тех, на которые не успели ответить в прямом эфире,
и подготовить исчерпывающие ответы.
«В чем отличие коллектора от сканера?»
В нашей терминологии «коллектор» и «сканер» обозначают один и тот же сервис, который отвечает за сбор данных с устройств для последующей обработки на сервере и поиска уязвимостей. В версии R-Vision VM 5.4 он называется «коллектор», а на новой архитектуре —«сканер».
«Compliance проверки доступны только в агентском режиме? SSH, WinRM и закрытые ОС (поставляемые как appliance)
не поддерживаются?»
Compliance-проверки в R-Vision VM доступны как в агентском, так и в безагентском режиме. В последнем случае поддерживается сканирование Linux-систем по SSH и Windows-систем через WinRM. Кроме того, в режиме Compliance возможно проведение проверок СУБД.
«Как новая архитектура обрабатывает облачные и гибридные машины, которые часто меняются (особенно ephemeral-активы)?»
В R-Vision VM реализована продвинутая модель учёта активов: данные из разных источников проходят дедупликацию и нормализацию, а уникальность устройства определяется по набору параметров, а не только по IP-адресу. Эти параметры можно настраивать. Поддержка сканирования ephemeral-контейнеров в Kubernetes пока отсутствует.
«Будете ли разрабатывать свой подход для контейнерных сред (K8s)? В частности, анализ уязвимостей самого K8s и других оркестраторов?»
Уязвимости docker и K8S уже есть в базе уязвимостей R-Vision. Подробнее можно ознакомиться здесь. Поддержка других оркестраторов будет развиваться по мере запросов рынка.
«Есть ли процесс верификации уязвимостей (проверка на False Positive)?»
Да. Команда аналитиков R-Vision VM проверяет каждую уязвимость, добавляемую в базу, в исследовательской лаборатории на более чем 700 стендах. Это снижает риск ложных срабатываний и повышает качество сканирования.
«Как добавляются уязвимости в исключения?»
Уязвимость можно пометить вручную, например, как «ложное срабатывание», или настроить правила, по которым статус будет присваиваться автоматически.
«После изменения данных об активе, есть ли возможность сравнить ревизии или данные просто заменяются?»
Данные заменяются, но в карточке актива сохраняется история всех изменений, и их можно просматривать.
«Хотелось бы подробнее узнать об обогащении базы уязвимостей?»
База уязвимостей обогащается аналитиками из более чем 300 источников (NVD, БДУ ФСТЭК, базы вендоров и др.). Дополнительно R-Vision развивает технологические партнерства с другими компаниями для расширения наполнения базы. Каждая уязвимость проходит несколько этапов: верификацию, подтверждение, обогащение и проверку.
«Есть ли возможность сканировать web (GET, POST) и контейнеры внутри?»
Поддержка веб-сканирования планируется в Q1 2026, а сканирование контейнеров — в Q4 2025.
Ответы на другие вопросы, а также полную запись вебинара от 17.06.2025 вы можете найти по ссылке.