Cloud Advisor
back Блог

Управление CVE-уязвимостями в публичном облаке: почему традиционные подходы не справляются

Пока вы сканируете одни ресурсы в публичном облаке, в инфраструктуре создаются новые. Традиционные инструменты в таких условиях не способны обеспечить приемлемое покрытие. Кроме того, приоритизация уязвимостей без учёта контекста ресурса в облаке (его окружения и текущего состояния) превращается в трудоёмкую задачу с неточным результатом.

В этой статье разбираем, почему традиционные подходы не работают в облаке и как выстроить эффективное управление уязвимостями в условиях сложной и непрерывно меняющейся среды.

calendar25.06.2026
time12 мин.
Управление CVE-уязвимостями в публичном облаке: почему традиционные подходы не справляются

Коротко о главном

  • Злоумышленники всё чаще используют CVE-уязвимости как точку входа в облачную инфраструктуру. Поэтому процесс поиска, приоритизации и устранения уязвимостей должен быть регулярным и эффективным.

  • Проблема: Традиционные агенты и сетевые сканеры уязвимостей созданы для статичной инфраструктуры. При их использовании в облаке компании сталкиваются с тремя основными проблемами:

    • низкое покрытие;

    • высокие операционные затраты на поддержку решения;

    • отсутствие приоритизации, которая учитывала бы другие риски безопасности в облаке.

  • Решение: Отказ от устаревших подходов в пользу современных cloud-native средств управления уязвимостями, таких как CNAPP (Cloud-Native Application Protection Platform).

  • Благодаря безагентной технологии, лежащей в их основе, они обеспечивают:

    • 100% покрытие — с автоматическим обнаружением новых активов;

    • развёртывание в течение получаса — даже в инфраструктурах с тысячами виртуальных машин (ВМ);

    • низкую стоимость владения — без установки агентов, заведения учётных записей и настройки сети;

    • автоматическую приоритизацию — с учётом контекста облачной среды.

Чем рискует компания, игнорируя CVE-уязвимости в облаке?

Управление CVE-уязвимостями (Vulnerability Management) — это один из ключевых процессов обеспечения информационной безопасности. Согласно отчёту Google Cloud за второе полугодие 2025 года, эксплуатация уязвимостей в программном обеспечении впервые обошла взлом учётных данных и стала вектором атак №1 для начального проникновения в инфраструктуру клиентов GCP — на CVE-уязвимости пришёлся 31% случаев.

Как отметили исследователи, при атаках на облачные рабочие нагрузки и кластеры Kubernetes злоумышленники целенаправленно ищут уже опубликованные CVE-уязвимости с помощью автоматизированных средств.

vuls-percentage

Кроме того, управление уязвимостями — требование многих регуляторных стандартов: 152-ФЗ, PCI DSS, GDPR и др. Все они обязывают компании выстраивать непрерывный процесс обнаружения и устранения уязвимостей. Без этого невозможно пройти аудит, что грозит штрафами и репутационными потерями.

Выстраивать процесс управления уязвимостями в облаке предстоит клиенту. Ведь согласно модели разделения ответственности (Shared Responsibility Model) для IaaS всё, что находится внутри ВМ и контейнеров, относится к зоне ответственности пользователя. Обнаружение и устранение CVE-уязвимостей в IaaS-инфраструктуре является ответственностью компании. Провайдер выполняет эту функцию только в моделях PaaS и SaaS. Однако и в PaaS существуют исключения. Например, управление уязвимостями на ВМ, которые являются узлами Yandex Managed Services for Kubernetes или Cloud.ru Cloud Container Engine, тоже лежит в зоне ответственности пользователя. Для точной информации обратитесь к провайдеру и обсудите модель разделения ответственности.

Почему цена ошибки в облаке выше

В публичном облаке управление уязвимостями требует особого внимания — цена ошибки здесь в разы выше, чем в on-premises, по двум ключевым причинам:

  1. В облаке критичность уязвимости определяется контекстом, а не только CVSS-оценкой.

    Уязвимость может сама по себе долго не приводить к инциденту, но в сочетании с публичной доступностью ресурса, ошибками конфигурации, секретами в открытом виде или избыточными правами доступа она превращается в звено реального пути атаки. Реализация такого пути может привести к недопустимому для бизнеса событию, способному повлечь за собой масштабный ущерб.

    Простой пример того, как контекст меняет критичность одной и той же уязвимости:

    • Уязвимость на изолированной ВМ — всего лишь потенциальная проблема.

    • Эта же уязвимость на публично доступной ВМ — уже угроза высокого уровня.

    • Если на этой ВМ также хранится секретный ключ доступа (например, AK/SK пользователя в Cloud.ru или Yandex Cloud OAuth-токен) — это критический риск, который требует немедленного устранения.

    schema
  2. Почти мгновенная эксплуатация. В отличие от закрытых корпоративных сетей, облачные ресурсы непрерывно сканируются ботами. Если на публично доступном ресурсе будет обнаружена уязвимость, ею тут же воспользуются. Злоумышленники начинают сканировать интернет на наличие свежих CVE уже через 15 минут после их публикации. Поэтому так важно вовремя обнаруживать и устранять уязвимости на публичных или ошибочно выставленных на периметр ресурсах — окно для патчинга критически мало.

Почему традиционные решения не подходят для управления уязвимостями в публичном облаке?

Традиционные средства защиты, требующие установки агентов или настройки SSH-доступа к каждому хосту, а также сетевые сканеры, работающие по принципу «чёрного ящика», изначально создавались для статичной и предсказуемой инфраструктуры.

В облаке всё иначе. Бизнес выбирает его за скорость, гибкость и возможность мгновенного масштабирования. Но у этих преимуществ есть и обратная сторона: облако формирует принципиально новую, высокодинамичную среду, для защиты которой традиционные инструменты технически не предназначены.

На практике это выражается в следующих проблемах:

  1. Отставание защитного ПО от скорости изменения среды. В облаке ресурсы (ВМ, контейнеры) могут жить всего несколько дней. Новые активы создаются постоянно, но далеко не всегда на них разворачиваются ИБ-агенты или заводятся учетные записи для SSH-доступа, необходимые для сетевого сканирования. В результате значительная часть инфраструктуры остаётся непокрытой.
  2. Необходимость организовывать и поддерживать сетевую связность. Чтобы сканер «дотянулся» до ресурса, инженерам нужно открывать порты, настраивать маршруты, управлять правилами файрвола. В облаке поддержка связности становится отдельной задачей. Любое изменение сети рискует вывести часть инфраструктуры из зоны видимости сканера, создавая «слепые зоны» в покрытии.
  3. Высокая совокупная стоимость владения (TCO). Внедрение традиционных инструментов требует серьёзных операционных затрат: инженерам приходится пересобирать образы систем, устанавливать агенты, заводить сервисные учётные записи и настраивать сетевую связность. В результате время высокооплачиваемых ИБ- и ИТ-специалистов уходит на рутинную поддержку решения. Кроме того, сами агенты потребляют ресурсы CPU и RAM. Если в on-premise это было не так критично, то в облаке вы платите провайдеру за каждый занятый гигабайт памяти и ядро процессора.
  4. Снижение производительности. Агенты (а их может быть несколько — по одному от каждого из вендоров: VM, EDR, AV и др.) на каждой ВМ могут заметно снижать общую производительность инфраструктуры и приводить к зависанию ВМ.
  5. Увеличение поверхности атаки. Сетевые сканеры создают риски из-за необходимости аутентификации (иногда с правами администратора) и активных сетевых подключений. Агентские решения снижают сетевые риски, но требуют установки программного агента на каждый хост, а агент, как любое ПО, может сам содержать уязвимости. Это создаёт новые точки входа и повышает риск компрометации инфраструктуры: если злоумышленник взломает сам инструмент защиты, он получит полный контроль над ресурсом.
  6. Отсутствие информации о других рисках безопасности в облаке. Изолированный сканер осуществляет поиск только уязвимостей и не видит контекста ресурса в облаке*: его сетевую связность, публичную доступность, риски бокового перемещения и т.д.

Что такое контекст ресурса в облаке?

Контекст ресурса в облаке — это совокупность атрибутов и связей ресурса, используемая при анализе угроз и для принятия решений о критичности угроз. К таким атрибутам относятся, например:

  • Тип ресурса (ВМ, контейнер, бакет объектного хранилища, управляемая БД и т.д.).
  • Сетевые параметры (публичный/внутренний IP, группы безопасности, балансировщики нагрузки).
  • Состояние безопасности (конфигурация ресурса, наличие уязвимостей, секретов в открытом виде, шифрования).
  • Права доступа и IAM (привязанные роли, сервис-аккаунты, разрешённые действия на ресурсе).

Расчёт риска с учётом контекста становится динамическим — он учитывает не только статические характеристики ресурса, но и реальное окружение, поведение пользователей и другие факторы.

Масштаб проблемы с покрытием подтверждают цифры: по данным внутренней аналитики Cloud Advisor, до 95% ВМ в облаке остаются без установленных традиционных инструментов защиты — таких как антивирус или средства управления уязвимостями.

coverage

Как управлять CVE-уязвимостями на скорости облака: современный подход

Чтобы защитить облако, безопасность должна двигаться с его скоростью. Эту задачу решают специализированные решения класса CNAPP (Cloud-Native Application Protection Platform).

Одна из ключевых особенностей таких решений — технология безагентного сканирования. Инструмент проверяет не сами ВМ и контейнеры, а снимки их дисков (снапшоты). Такой подход гарантирует 100% покрытие динамичной среды без операционных затрат на их поддержку — без установки агентов, без заведения учётных записей и без настройки сети.

В CNAPP-решении Cloud Advisor поиск уязвимостей осуществляется с помощью запатентованной безагентной технологии DiskScan™.

Процесс выглядит так:
  1. Через API облачного провайдера автоматически создаётся снимок диска ВМ или контейнера.
  2. Снимок передаётся в изолированный сканер, работающий в периметре пользователя, который проводит глубокое сканирование: выявляет уязвимости ПО, ищет вредоносный код, проверяет конфигурацию ОС, обнаруживает секреты (ключи, пароли) в открытом виде, контролирует целостность файлов (FIM) и т. д.
  3. После завершения анализа снимок диска удаляется.
coverage

Четыре ключевых преимущества безагентного cloud-native подхода:

  1. 100% покрытие
    Решение автоматически обнаруживает и защищает все ресурсы, включая те, о которых служба ИБ даже не знает. Новые ресурсы сканируются сразу после их создания. Никаких слепых зон.
  2. Быстрое развёртывание
    Безагентное решение подключается к облачной инфраструктуре на уровне API, Подключение занимает в среднем 30 минут. Уже в первые часы после подключения вы получаете полную картину уязвимостей в вашей инфраструктуре.
  3. Нулевое влияние на производительность
    Сканирование происходит на изолированной копии данных, не расходуя ресурсы (CPU/RAM) продуктивных систем и не замедляя работу приложений. Ваш бизнес не замечает, что идёт проверка безопасности.
  4. Низкая стоимость владения (TCO)
    Вам не нужно тратить ресурсы DevOps-команд на установку, обновление и поддержку тысяч агентов или настройку SSH-доступов и сетевой связности. Для анализа снапшотов создаются маломощные ВМ, которые удаляются сразу по завершении проверки и лишь незначительно увеличивают счёт от провайдера.

Чтобы наглядно показать разницу в характеристиках и возможностях традиционных и cloud-native сканеров уязвимостей, мы подготовили сравнительную таблицу ниже.

comparison

Сравнение методов поиска уязвимостей (видов сканеров)

Безагентный подход с анализом снапшотов решает проблему покрытия, но не отвечает на вопрос «что устранять в первую очередь?». И здесь на помощь приходит CNAPP. Решения этого класса проводят комплексный анализ безопасности инфраструктуры в публичном облаке и предоставляют полную картину рисков. Это позволяет приоритизировать угрозы с учётом всего контекста облачной среды.

Cloud Advisor: безагентное сканирование и точная оценка критичности уязвимости с учётом контекста

Подход к управлению уязвимостями, сочетающий безагентное сканирование снапшотов с приоритизацией рисков, учитывающей полный контекст облачной среды, реализован в Cloud Advisor — #1 CNAPP в России:

  • Безагентная технология DiskScan обеспечивает 100% покрытие и автоматическое сканирование новых ресурсов при их появлении в инфраструктуре без дополнительных действий со стороны ИТ- и ИБ-команд.

    «Я не могу себе представить более быструю схему работы с уязвимостями, чем сейчас. От Cloud Advisor невозможно спрятаться: всё, что появляется в инфраструктуре, сразу начинает сканироваться. Даже если DevOps создаст “временную” виртуальную машину для тестовых целей — сразу после запуска она будет проверена»

    Максим Мисюра, директор по информационной безопасности Doma.ai

  • Информация о рисках безопасности от других модулей, входящих в состав CNAPP, помогает выявлять критические пути атаки и корректно приоритизировать угрозы.

    Как контекст облачной среды помогает в триаже уязвимостей?

    При анализе рисков, связанных с найденными уязвимостями, Cloud Advisor учитывает не только CVSS-оценку, но и наличие публичных эксплойтов. Помимо этого, платформа предлагает следующий уровень приоритизации угроз — учёт контекста актива, включая анализ его доступности из интернета.

    vulnerabilities

    Так, уязвимость, найденная на публично доступной машине с группой безопасности, разрешающей неограниченные подключения, будет иметь больший приоритет, чем та же уязвимость, найденная на машине, не имеющей доступа в интернет.

    В результате ИБ-команда получает не разрозненный список из тысяч CVE-уязвимостей, требующий ручного анализа, а короткий перечень угроз, которые необходимо устранить в первую очередь.

Готовы защитить вашу облачную инфраструктуру?

Запланируйте видео-встречу с экспертами Cloud Advisor

Записаться на демо

Больше, чем управление уязвимостями

Важно отметить, что возможности Cloud Advisor выходят далеко за рамки управления CVE-уязвимостями. Подключая платформу, вы получаете единый центр безопасности для комплексной защиты инфраструктуры в публичном облаке. Она позволяет решать широкий спектр задач информационной безопасности в рамках одного продукта:

  • контролировать конфигурацию облака: публичность ресурсов, наличие шифрования и т.д.;

  • контролировать IAM — Identity and Access Management: пользователи, права, роли;

  • обеспечивать безопасность Kubernetes;

  • защищать рабочие нагрузки: осуществлять поиск уязвимостей, вредоносного ПО, секретов в открытом виде, контролировать целостность файлов и проводить другие проверки.

Обладая полной картиной всего происходящего в облаке, Cloud Advisor выявляет токсичные комбинации обнаруженных рисков и строит критические пути атаки. Это позволяет ИБ-команде сосредоточиться на устранении реальных угроз безопасности и не тратить время на анализ бесконечного потока алертов от разрозненных инструментов.

attack-path

Выводы и рекомендации

  1. Управление уязвимостями — важнейший компонент безопасности облачной инфраструктуры.

    Согласно отчёту Google Cloud, эксплуатация уязвимостей в ПО — это вектор атак №1 для начального проникновения в инфраструктуру.

  2. Традиционные средства управления уязвимостями в облаке малоэффективны.

    Агенты и сетевые сканеры созданы для статичной инфраструктуры. Они не обеспечивают приемлемого покрытия в облаке, где ресурсы часто существуют всего несколько дней и нередко создаются без участия ИБ.

  3. Для эффективного управления CVE-уязвимостями в облаке необходим переход к cloud-native решениям.

    Современный подход строится на двух принципах:

    • Безагентное сканирование снапшотов.

      Через API облачного провайдера создаются снимки дисков, на которых выполняется поиск уязвимостей. Благодаря этому можно обходиться без агентов и сетевых сканеров, которые влияют на производительность продуктивных систем и увеличивают поверхность атаки. Кроме того, такой метод гарантирует 100% покрытие всех ВМ в инфраструктуре.

    • Контекстный анализ.

      Уязвимости приоритизируются не изолированно (по оценке CVSS), а в связке с другими рисками безопасности в облаке: публичной доступностью ресурса, избыточными правами IAM, ошибками конфигурации и т. д.

Выстраивайте защиту облачной инфраструктуры комплексно. Используйте платформу Cloud Advisor, чтобы получить полную картину безопасности вашего облака в рамках одного продукта: от управления уязвимостями до контроля конфигурации облака.

Хотите увидеть, как это работает в вашей инфраструктуре? Приходите на демо и запускайте пилотное тестирование.