Уязвимостей в 2025-м нашли больше, чем кто-либо успевает прочитать

63773
Уязвимостей в 2025-м нашли больше, чем кто-либо успевает прочитать
image

За 2025 год NIST обогатил данными почти 42 000 уязвимостей. Звучит как трудовой подвиг, пока не вспомнишь, что это на 45% больше любого прошлого рекорда, а очередь необработанных записей всё равно росла. Американская NVD, эталон, на который смотрит полмира, тихо захлебнулась и с весны 2026-го обогащает только приоритетные CVE. Остальные висят без оценки серьёзности, без описания затронутых продуктов, без ссылок на патч. Голый идентификатор и тишина.

А теперь добавьте сюда регулятора. С 30 июня 2025-го действует новая методика ФСТЭК по оценке критичности уязвимостей, и формулировки в ней жёсткие. Критичную дыру теперь полагается закрыть в течение нескольких часов, до суток. Не за плановое окно. Не к следующему вторнику. За 24 часа. Прежняя редакция 2022 года про конкретный срок скромно молчала.

Многие команды при этом до сих пор работают по схеме, которая появилась во времена, когда за год находили впятеро меньше уязвимостей. Запустил сканер, получил список, отсортировал по баллу, закрыл что успел до конца квартала. Схема честная, понятная и безнадёжно медленная.

Скриншот №1.jpg

Рисунок 1. Общая панель показателей. Верхний уровень. Оценка защищённости, тренды устранения, текущие приоритеты.

Где старая схема рассыпается

Первое и главное. Скорость. От публикации до появления рабочего эксплойта в 2025-м проходили дни, иногда часы, по оценкам Mandiant счёт идёт на считанные дни. Цикл «сканирование, заявка, патч» по плану занимает недели. Атакующий просто быстрее любого согласованного процесса, и спорить тут не о чем.

Второе. Иллюзия высокого балла. Высокий CVSS говорит, что уязвимость потенциально разрушительна, и ровно ничего не говорит о том, тронет ли её хоть кто-нибудь. По данным FIRST, около 87% записей с присвоенной оценкой EPSS имеют вероятность эксплуатации ниже 0,1%. В «Лаборатории Касперского» прямым текстом разбирают, почему сортировка дыр по одному базовому баллу не срабатывает. Парадокс старый. В системе сотни «критичных» CVE, а реально атакующие используют единицы. Зато какая-нибудь скромная семёрка с активным эксплойтом в дикой природе уносит инфраструктуру за вечер.

Третье. Слепые зоны. Незарегистрированный сервер под чьим-то столом, контейнер, IP-телефон, сетевой принтер, камера. Классический сканер их в упор не видит, потому что их нет в его списке хостов. А начальный доступ атакующий получает именно через такую забытую железку, а не через образцово пропатченный домен-контроллер.

Четвёртое, и самое обидное. Ложное закрытие. Исполнитель отметил заявку выполненной, система записала уязвимость в устранённые, все довольны. Реально ли дыра закрыта, не проверяет никто до следующего планового скана. Это окно эксплуатации длиной от пары дней до месяца, подаренное атакующему за красивую галочку в тикете.

Security Vision NG VM пытается закрыть все четыре пробоины разом, в одной платформе. Российская система непрерывного управления уязвимостями, которая собирает под одной крышей то, что на западном рынке продают три разных вендора. Учёт активов, сканирование и процесс устранения. Идея простая до банальности и оттого редкая. Не просто найти уязвимости, а приоритизировать их по фактическому риску и убедиться, что после правки проблема действительно исчезла.

Сначала найди, что вообще защищаешь

Защитить можно только то, о существовании чего знаешь. Звучит как трюизм, но именно на этом спотыкается половина проектов. NG VM строит не статический список адресов, а живую карту инфраструктуры. Граф связей с контекстом достижимости и принадлежностью к бизнес-процессам, где активы сами собираются по подсетям и информационным системам.

Обнаружение работает в несколько рук. Сканирование сетей, разбор баннеров сервисов, разрешение имён, пассивный анализ трафика, выуживание скрытых хостов из ARP-таблиц. Нашёл что-то, чего быть не должно, пометил отдельным флагом. Дальше автоматическая классификация раскладывает находки по типам, и каждому достаётся свой набор атрибутов. Сервер, рабочая станция, СУБД, принтер, IP-телефон, контейнер, OT-устройство. Один и тот же актив, добавленный по адресу, по имени, по UUID и по результатам скана, система узнаёт и сводит в одну запись, а не плодит четырёх близнецов (дедупликацию можно настроить под себя, если штатная логика не угадывает).

Скриншот №2.jpg

Рисунок 2. Карта инфраструктуры. Автоматическое обнаружение и группировка активов по подсетям, типам и владельцам.

Динамические группы пересобираются на лету по любому критерию, от версии ПО до бизнес-подразделения. Критичность актива считается по конфиденциальности, целостности и доступности, и эта оценка потом тянет за собой приоритет устранения уже по методике ФСТЭК. Подпитывается всё это богатство из двух десятков источников. Active Directory, OpenLDAP, FreeIPA, Astra Linux Directory, ALD Pro, системы SIEM и DLP, антивирусы, файловый импорт и REST API.

Отдельная модель связывает технику с бизнесом по цепочке от информационной системы через бизнес-процесс и приложение до конкретной железки и поставщика. Здесь же живёт граф достижимости, который читает правила межсетевых экранов и маршрутизацию и отвечает на честный вопрос. Какие из уязвимых систем атакующий реально дотянется потрогать, а какие спрятаны так, что бояться нечего. Ключевые узлы, контроллеры домена, ERP, SCADA, финансовые системы, помечаются стратегическими, и защита разворачивается лицом именно к ним.

Скриншот №3.jpg

Скриншот №3.1.jpg

Карточку актива можно достроить своими полями через конструктор, без вызова разработчика. История изменений хранит, что менялось в конфигурации, какое ПО ставили и сносили, и позволяет сравнить состояние хоста между двумя сканами. Тут же инвентаризация софта со списками разрешённого и запрещённого, преднастроенные команды под Linux, Windows, сетевое оборудование и СУБД, и автопатчинг прямо из веб-интерфейса с контролем результата (об этом «контроле результата» ещё поговорим, потому что в нём вся соль).

Движок сканирования, а не переклеенная этикетка

Сканер у Security Vision собственный. Не переупакованный опенсорс под новым логотипом, а свой движок, и база уязвимостей под ним собирается из БДУ ФСТЭК, NVD, реестра CISA KEV, оценок EPSS и собственной аналитики вендора. Обновление не реже раза в сутки, включая изолированные контуры. Между публикацией дыры в открытых источниках и её появлением в базе проходит порядка 48 часов, а трендовые уязвимости получают дополнительные проверки вне общего цикла.

Список поддерживаемых платформ читается как перепись отечественного и не очень зоопарка. Привожу его таблицей, потому что это тот случай, когда практику нужна не проза, а матрица для поиска своего стека глазами.

Платформа

Версии и дистрибутивы

Linux

Astra Linux SE 1.7 и 1.8, Alt Linux, RedOS, Ubuntu 18-24 LTS, Debian 10-12 и производные, RHEL 7-9, CentOS, AlmaLinux, Oracle Linux

Windows

Windows 7-11, Windows Server 2008-2022, режим WMI без агента, подсистема Linux в Windows

Прикладное ПО

MS Office (включая click-to-run), Exchange, SharePoint, 1С Предприятие по публичным уязвимостям из БДУ ФСТЭК

СУБД

MS SQL Server, PostgreSQL, MySQL и MariaDB, Oracle Database, Elasticsearch

Сетевое оборудование

Cisco, Juniper, CheckPoint, PaloAlto, Huawei VRP, Eltex, Mikrotik, Extreme Networks

Контейнеры

Docker (запущенные, остановленные, образы), Docker Compose, Kubernetes

OT и АСУ ТП

Modbus, пассивное обнаружение OT-устройств, разделение IT- и OT-сегментов

Веб

OWASP Top 10 и расширенные проверки

Виртуализация

VMware ESXi и vCenter, ROSA Virtualization, zVirt

Периферия

IP-телефония, принтеры, IP-камеры

Честная оговорка, которую вендор и сам не прячет. По 1С это публичные записи из БДУ, а не глубокий аудит внутренней логики, и OT пока держится в основном на Modbus. Для большинства корпоративных задач хватит с запасом, но, если у вас экзотическая промышленная шина, уточняйте отдельно.

Скриншот №4.jpg

Режимов сканирования много, и сделано это не ради строчки в проспекте. Лёгкий агент на хосте сканирует без сетевого шума и независимо от доступности. Безагентный режим заходит по SSH, WinRM, WMI и SNMP, ничего не устанавливая. Для отрезанных сегментов есть цепочка прокси, позволяющая дотянуться до любого закутка без прямого соединения с центральным сервером, что для объектов критической инфраструктуры не роскошь, а условие выживания. Для совсем глухих углов работает локальный скрипт, который запускают на хосте руками, а результат потом подгружают в систему как обычный скан.

Два режима стоит выделить. Сканирование только новых систем и изменений проверяет лишь то, что появилось впервые или обросло новым ПО, портами и сервисами, экономя время регулярных проверок. А ретроскан мгновенно прогоняет всю инфраструктуру по уже собранным данным, без повторного подключения к активам. Вышла громкая уязвимость в полночь, и вы знаете, кого она задела, через минуты, а не дожидаясь планового окна в следующую субботу. Работает как официант, который держит в голове все пять столиков сразу и не бежит на кухню переспрашивать заказ при каждом новом вопросе.

Есть «чёрный» и «белый» ящик с настройкой интенсивности, и вот это для продуктивных систем КИИ, SCADA и банковского контура важнее, чем кажется. Слишком жадный сканер кладёт боевой сервис не хуже атаки. Pentest-режим тащит библиотеку скриптов под подбор слабых паролей, устаревшие шифры и эксплойты в безопасном исполнении, с возможностью дописать свои проверки. А режим совместной работы уживается с Nessus, MaxPatrol и RedCheck, дополняя их, а не вытесывая под корень. Миграция без потери исторических данных, что в реальном проекте ценят куда больше красивых слов про революцию.

Карточка уязвимости собирает в одном окне всё, за чем обычно лезешь в пять вкладок. Описание, вектор атаки, оценки CVSS версий 2, 3 и 4, EPSS, флаг CISA KEV, способы устранения под каждую затронутую ОС, наличие публичного эксплойта, идентификаторы CWE и прямые ссылки на NVD, Exploit-DB и БДУ ФСТЭК. Отдельный индикатор трендовости подсвечивает то, что эксплуатируют прямо сейчас.

Скриншот №5.jpg

Скриншот №5.1.jpg

Рисунок 5. Карточка уязвимости. Вектор атаки, оценки EPSS и CISA KEV, способы устранения для разных ОС.

Преднастроенная аналитика отделяет реально найденное от записей в базе, которых в вашей сети нет. Раздел «уязвимости с эксплойтом» сразу выдаёт первоочередную очередь. А журнал-дельта автоматически сравнивает последовательные сканы и показывает, что появилось, что закрыли, что осталось висеть. Выгрузка в JSON уходит в SIEM, SOAR и конвейеры CI/CD без танцев с бубном.

Скриншот №6.1.jpg

Скриншот №6.2.jpg

Рисунок 6. Журнал уязвимостей. Автоматическое сравнение последовательных сканирований по новым, устранённым и оставшимся записям.

Веб-приложения отдельной строкой

Под веб выделен свой модуль с проверками по OWASP Top 10 и сверх того. Перед атакой идёт разведка. Аутентификация по cookie, логину и паролю или спецзаголовкам открывает закрытые разделы сайта, поиск поддоменов вытаскивает забытые сервисы, а охота за скрытыми файлами и папками находит бэкапы и конфиги, которых в навигации нет и быть не должно. Дальше активное сканирование в режиме имитации атаки отправляет хитрые запросы и читает ответы сервера, ловя то, что при пассивной проверке не видно.

Ловит модуль внушительный набор. Инъекции SQL, кода и команд, загрузку произвольных файлов, межсайтовый скриптинг и подделку запросов, слабую криптографию и устаревшие шифры TLS, утечки конфигурации и стека технологий, проблемы на стороне браузера, а из тяжёлой артиллерии SSRF, небезопасную десериализацию, Path Traversal и IDOR. Список не для красоты, каждый пункт регулярно всплывает в разборах реальных взломов.

Маршруты атак, или как думать за противника

Самая интересная часть. Модуль анализа маршрутов берёт граф достижимости и обогащает его четырьмя слоями штатной инвентаризации. Уязвимости, сервисы и порты, учётные записи, правила межсетевых экранов. На выходе аналитик видит не абстрактную кучу дыр, а конкретные тропы, по которым атакующий доберётся от внешнего периметра до контроллера домена или SCADA. И, что важнее, какие узлы на этих тропах рвут цепочку.

Скриншот №7.jpg

Скриншот №8.jpg

Рисунок 7. Граф маршрутов атак. Узлы с ролями (Атакующий, Источник, Промежуточный узел, Стратегический актив) и подсветкой критичных уязвимостей на пути.

Граф умеет показывать путь в трёх проекциях. Только уязвимости, чтобы понять, что закрыть для разрыва. Только учётные записи, чтобы увидеть, откуда атакующий снимет права. Только протоколы и порты, чтобы проектировать правила экранов. И главный фокус, моделирование без последствий. Спрашиваешь систему «что будет, если я закрою вот эту уязвимость» или «если заблокирую этот порт», а она пересчитывает граф и показывает картину до и после, не трогая боевую сеть. Дешёвый способ проверить гипотезу до того, как чинить продуктив руками.

Устранение, где галочка ничего не значит

Найти дыру это полдела, и полдела самое лёгкое. Реальная ценность начинается там, где уязвимость действительно закрывают. NG VM встраивается в операционный процесс от создания заявки до подтверждённого факта.

Тут зарыт ключевой принцип, ради которого многое и затевалось. Статус «Выполнена» не финальный. При следующем скане система сама проверяет факт устранения. Дыры нет, заявка уходит в «Подтверждена». Дыра на месте, заявка автоматически возвращается в работу. Никаких «исполнитель сказал, что починил». Доверяй сканеру, а не отметке в тикете.

Скриншот №9.jpg

Рисунок 8. Список задач устранения. Очередь работ с приоритетами, ответственными командами и контролем сроков.

Приоритизация считается по методике ФСТЭК от 30 июня 2025-го и по методике НКЦКИ, со сроками в рабочих или календарных днях. Поверх базового CVSS ложатся EPSS и флаг CISA KEV. Дерево решений ветвит сценарии по типу актива, наличию патча, сегменту и владельцу. Задачи группируются как удобно, по активу, по уязвимости или по паре. А правила автоматики живые. Попала уязвимость в трендовые или в реестр CISA KEV, и сроки сами ужимаются, эскалация стартует без человека. Эскалация, кстати, идёт по почте, через оповещения SIEM и в мессенджеры, так что не заметить дедлайн придётся постараться.

Автопатчинг ставит обновления ОС и прикладного софта из веб-интерфейса, сам или по кнопке. Нет патча, система следит за релизами производителя, включая Astra Linux, Alt Linux и RedOS. Принять риск бесконтрольно не выйдет. Компенсирующие меры фиксируются с автоконтролем срока, а исключения уязвимостей пишутся с гранулярностью до версии продукта и с полным журналом, кто, когда и на каком основании отступил от правил. Аудитор будет доволен. Синхронизация двусторонняя с Naumen Service Desk, SimpleOne, Kaiten, Яндекс Трекер, Jira, OTRS и Redmine.

Соответствие конфигураций, аналитика и долгая память

Помимо охоты за дырами платформа проверяет защищённость конфигураций по преднастроенным стандартам для Windows и Linux, с конструктором собственных требований и рекомендациями по приведению хоста в порядок. Дифференциальные отчёты показывают, что изменилось между проверками. Подробности вынесены в отдельный материал про модуль Security Vision SPC.

А вот чего нет у простого сканера, так это памяти. NG VM по сути хранилище данных по уязвимостям, где по каждому активу и каждой дыре лежит вся биография от первого обнаружения до устранения на последнем хосте. На этом строится долгая аналитика. Среднее время устранения в разрезе команд, типов активов и подразделений превращает абстрактное «мы стараемся» в цифру, по которой видно, кто тянет, а кто буксует.

Скриншот №10_.jpg

Скриншот №11.jpg

Рисунок 9. Среднее время устранения по командам. Сроки в разрезе ответственных команд администрирования и типов активов.

Исторические срезы за месяцы и годы дают тренды защищённости, виджеты собираются под себя из диаграмм, графиков и таблиц, а панели показателей разводятся по ролям. Руководителю ИБ одно, администратору другое. Конструктор отчётов выгружает в PDF, DOCX, XLSX, CSV, JSON и XML, с шаблонами под руководство, аудиторов и регуляторов и брендированием под заказчика. Расписание выпускает отчёты само, без ручного запуска по пятницам.

Скриншот №11.jpg

Рисунок 10. Историческая динамика защищённости. Оценка защищённости и количество открытых уязвимостей за последние месяцы.

Сама платформа тоже под защитой

Странно было бы, если инструмент безопасности оказался дырявым изнутри. Поэтому здесь настраиваемая ролевая модель с гранулярным доступом и ограничением видимости активов, парольная политика со всеми привычными ручками, автоблокировка после серии неудачных входов, доменная аутентификация через Active Directory, FreeIPA, Astra Linux Directory, ALD Pro и Keycloak. Чувствительные данные в базе, пароли и учётки сканирования, шифруются, причём ключи можно подсунуть свои. Плюс резервное копирование полное и инкрементальное, встроенный health-check компонентов и мультиязычный интерфейс.

Развёртывание и масштаб

Ставится в инфраструктуре заказчика на Linux, от Astra и RedOS до Ubuntu Server, с PostgreSQL под капотом и полным контролем данных на стороне клиента. Отказоустойчивый кластер заявлен на доступность до 99,99%. Цифра, разумеется, из спецификации, и в реальном ЦОД она сильно зависит от рук и от того, как разведены питание и каналы, но архитектура под такой режим есть. Многоарендность годится провайдерам MSSP, изолированные тенанты разводят клиентов по углам. Air-gap-контур работает с полной функциональностью без интернета, с офлайн-обновлением базы через ту самую цепочку прокси.

Производительность вендор тестировал на инфраструктурах от 50 000 хостов с распределёнными модулями сканирования по сегментам. Тут уместна обычная для таких чисел оговорка. Это данные производителя, независимого аудита на полусотне тысяч узлов я в открытом доступе не встречал, так что под свой парк закладывайте пилот.

Интеграции и бумаги

По стыковкам список длинный и по делу. SIEM и мониторинг через Security Vision SIEM, MaxPatrol SIEM, KUMA, QRadar, Splunk и ArcSight. Тикет-системы те же, что в устранении, плюс ServiceNow. Аналитика угроз через Security Vision TIP, бюллетени НКЦКИ, MISP и OpenCTI. Виртуализация, антивирусы и EDR от Kaspersky Security Center и Dr.Web до Solar Dozor и InfoWatch, метрики в Grafana и Zabbix. Сверху полный документированный REST API с разграничением доступа по ключам, через который можно тянуть активы, запускать задачи и выгружать результаты программно.

С сертификацией для серьёзных контуров всё на месте. Платформа сертифицирована ФСТЭК России, ФСБ России и Минобороны (последнее с уровнем НДВ 2), а также включена в реестр отечественного ПО Минцифры, что снимает вопросы по закупкам через 44-ФЗ и 223-ФЗ. Для государственных систем, объектов КИИ и финансовых организаций это не приятный бонус, а пропуск на вход.

Короткий FAQ для тех, кто прокрутил сразу сюда

Чем EPSS и CISA KEV лучше привычного CVSS

CVSS описывает, насколько уязвимость опасна в теории. EPSS прогнозирует вероятность того, что её начнут эксплуатировать в ближайшие 30 дней, и пересчитывается ежедневно. CISA KEV фиксирует факт, дыру уже используют в реальных атаках. Сортировка по одному базовому баллу гонит команду чинить сотни «девяток», которые никто не тронет, мимо одной «семёрки» с активным эксплойтом. Связка трёх метрик расставляет приоритеты ближе к реальному риску.

Реально ли уложиться в 24 часа на критичную уязвимость

Методика ФСТЭК от 30 июня 2025-го задаёт такой ориентир для критичного уровня. Уложиться руками по старому циклу почти нереально, и именно поэтому в платформе связаны автоприоритизация, автопатчинг и автоэскалация. Машина выигрывает там, где человек физически не успевает к дедлайну.

Будет ли работать в полностью изолированной сети

Да, заявлен air-gap-режим с полной функциональностью без интернета. База обновляется офлайн, а до закрытых сегментов система дотягивается цепочкой прокси, без прямого соединения с центральным сервером. Для объектов КИИ это штатный сценарий.

И что в сухом остатке

Идея NG VM не в том, чтобы найти на тысячу дыр больше конкурента. А в том, чтобы перестать врать самим себе про закрытые уязвимости. Сканер нашёл, исполнитель отметил, повторный скан проверил, и только тогда дыра считается закрытой. Скучная на словах механика, которая решает ту самую четвёртую проблему, ложное закрытие, дороже всех остальных вместе взятых.

А пока NVD разгребает свой бэклог и помечает уязвимости старше семи лет «отложенными», вопрос «закрыто ли это на самом деле» из философского становится сугубо практическим. Галочка в тикете врёт. Повторный скан нет.

18+. Реклама. Рекламодатель ООО «Интеллектуальная безопасность», ИНН 7719435412, erid:2SDnjcEq3W3

42 000
CVE / год
Аналитика · Уязвимости
42 000 CVE за год. Что чинить первым?
Разобрали, почему CVSS уже мало, как помогают EPSS и CISA KEV и где Security Vision NG VM сокращает путь от риска до патча.
Перейти к статье
18+. Реклама. Рекламодатель ООО «Интеллектуальная безопасность», ИНН 7719435412