Пентест vs сканер уязвимостей: в чём разница и что выбрать для вашей компании
9 мая 2025 · 10 мин чтения · System Networks
Пентест и сканер уязвимостей — принципиально разные инструменты. Сканер автоматически проверяет инфраструктуру по базам известных уязвимостей и занимает несколько часов. Пентест — ручная работа специалиста, который реально пытается взломать вашу систему и показывает, какой ущерб может нанести злоумышленник. Ни один из них не заменяет другой: они решают разные задачи и применяются в разных ситуациях.
Что такое сканер уязвимостей
Сканер уязвимостей — это программный инструмент, который автоматически проверяет хосты, сети и приложения на наличие известных уязвимостей. Он сверяет версии ПО, конфигурации и открытые порты с базами CVE (Common Vulnerabilities and Exposures) и NVD (National Vulnerability Database).
Популярные инструменты: Nessus, OpenVAS, MaxPatrol VM (российская платформа от Positive Technologies), Qualys, Rapid7 InsightVM. Из российских сканеров для выполнения требований ФСТЭК применяется MaxPatrol VM — он входит в реестр отечественного ПО и имеет сертификат регулятора.
Сканер работает быстро: полное сканирование корпоративной сети из 200–300 хостов займёт несколько часов. Результат — список уязвимостей с оценкой по шкале CVSS (от 0 до 10), краткое описание и ссылки на патчи.
Что умеет сканер — и чего не умеет
Умеет:
- · Находить известные CVE за часы
- · Проверять сотни хостов одновременно
- · Отслеживать появление новых уязвимостей
- · Строить тренды динамики защищённости
- · Интегрироваться с тикет-системами
Не умеет:
- · Оценить реальный ущерб от эксплуатации
- · Строить цепочки атак
- · Находить логические уязвимости в бизнес-логике
- · Проверять социальную инженерию
- · Заменить ручной анализ кода
Что такое пентест (тестирование на проникновение)
Пентест — это санкционированная симуляция реальной атаки на информационную систему. Специалист по безопасности (пентестер) действует как злоумышленник: исследует периметр, ищет уязвимости, эксплуатирует их, пытается повысить привилегии и добраться до целевых данных. Всё это — с явного письменного разрешения заказчика.
Ключевое отличие: пентестер не просто фиксирует наличие уязвимости — он доказывает, что она эксплуатируема в вашей конкретной среде и показывает, к чему это приведёт. Это принципиально меняет картину: уязвимость с CVSS 9.8 на изолированном внутреннем сервере может быть менее опасной, чем CVSS 5.0 на сервере с прямым доступом в интернет и критическими данными.
Виды пентеста
Пентестер не знает ничего о системе — работает как внешний злоумышленник. Наиболее реалистичная модель угрозы, но требует больше времени и стоит дороже.
Пентестеру предоставляется частичная информация: учётные данные обычного пользователя, схема сети. Оптимальный баланс реалистичности и охвата для большинства задач.
Полный доступ: исходный код, архитектурные схемы, все учётные данные. Максимальный охват для анализа кода и логики приложения.
Многонедельная операция с имитацией APT-атаки, включая социальную инженерию, физический доступ, атаки на цепочку поставок. Для зрелых компаний с развитой ИБ-службой.
Сравнение: пентест vs сканер уязвимостей
| Параметр | Сканер уязвимостей | Пентест |
|---|---|---|
| Что делает | Автоматически сканирует по базам CVE/NVD | Ручная эксплуатация уязвимостей специалистом |
| Глубина | Поверхностная — факт наличия уязвимости | Глубокая — реальный ущерб, цепочки атак |
| Ложные срабатывания | Высокий процент (10–40%) | Минимум — всё проверено вручную |
| Стоимость | От 50 000 ₽/год (подписка) | От 120 000 ₽ за проект |
| Срок | Несколько часов | 5–20 рабочих дней |
| Результат | Список уязвимостей с CVSS-оценкой | Отчёт с PoC, рекомендации, executive summary |
| Признание регулятором | Не признаётся как аудит | Признаётся ФСТЭК, ЦБ, страховщиками |
| Требует лицензии | Нет | Да (ФСТЭК ТЗКИ у подрядчика) |
Когда нужен пентест, а когда достаточно сканера
Вопрос не в том, что лучше — а в том, какую задачу нужно решить. Вот практические ориентиры:
Выбирайте сканер, если:
- ·Нужен непрерывный мониторинг новых уязвимостей
- ·Ограниченный бюджет на ИБ (стартапы, МСБ)
- ·Нужна инвентаризация периметра и активов
- ·Перед пентестом — для «разведки» и приоритизации
- ·Проверка после установки патчей
- ·Регулярная гигиена инфраструктуры
Выбирайте пентест, если:
- ·Требование регулятора (ЦБ РФ, ФСТЭК, 152-ФЗ)
- ·Требование страховой компании для киберстрахования
- ·Запуск нового продукта или сервиса
- ·Перед крупной сделкой (M&A due diligence)
- ·Нужно подтвердить защищённость для клиентов/партнёров
- ·После крупного инцидента безопасности
Профессиональный подход
Сканирование уязвимостей — это регулярная гигиена. Пентест — периодический глубокий осмотр. Зрелые компании используют оба инструмента: сканирование раз в месяц или чаще, пентест раз в год или после значимых изменений.
Стоимость пентеста: из чего складывается цена
Цена пентеста зависит от нескольких факторов, и понять их важно до запроса коммерческого предложения:
- 01Область тестирования: Только веб-приложение, только внешний периметр, внутренняя сеть или полный охват — разница в цене в 2–5 раз
- 02Тип тестирования: Black Box дороже White Box: пентестер тратит больше времени на разведку
- 03Размер инфраструктуры: Число IP-адресов, приложений, компонентов — прямо влияет на трудозатраты
- 04Требуемый отчёт: Executive summary для совета директоров, технический отчёт для ИТ-команды, отчёт для регулятора — разный объём работ
- 05Срочность: Стандартный проект — 10–15 дней. Ускоренный — до 5 дней, наценка 30–50%
| Тип пентеста | Ориентировочная стоимость | Срок |
|---|---|---|
| Веб-приложение (1 домен) | от 120 000 ₽ | 5–10 дней |
| Мобильное приложение | от 150 000 ₽ | 7–12 дней |
| Внешний периметр | от 180 000 ₽ | 7–14 дней |
| Внутренняя сеть | от 250 000 ₽ | 10–20 дней |
| Комплексный (внешний + внутренний) | от 400 000 ₽ | 15–25 дней |
| Red Team операция | от 800 000 ₽ | от 4 недель |
Как выбрать подрядчика для пентеста
Пентест — это высококвалифицированная услуга с прямым доступом к вашей инфраструктуре. Выбор подрядчика критически важен: ошибки могут привести к инцидентам в продакшене, а данные, полученные в ходе тестирования, окажутся у ненадёжного исполнителя.
Проверьте лицензию ФСТЭК
Компания должна иметь лицензию на ТЗКИ. Проверяйте на fstec.ru по ИНН — не принимайте сканы документов на слово.
Посмотрите на состав команды
Спросите CVs исполнителей. Ищите сертификаты: OSCP, CEH, GPEN, GWAPT. Российские: сертификаты PT, BI.ZONE, Kaspersky Security.
Изучите примеры отчётов
Нормальный подрядчик покажет анонимизированный пример отчёта. Если отказывают — сигнал тревоги.
Проверьте договор и NDA
В договоре должно быть: описание области тестирования, запрет на передачу данных третьим лицам, ответственность за инциденты в ходе тестирования.
Красные флаги: когда отказываться
Цена ниже рынка в 2+ раза, отказ от договора, нет лицензии, невозможно проверить юрлицо, обещают «найти всё за день».
Что входит в отчёт по результатам пентеста
Качественный отчёт по пентесту состоит из двух частей:
Executive Summary — краткое резюме для руководства на 3–5 страниц: общий уровень защищённости, критические находки, бизнес-риски, ключевые рекомендации. Без технических деталей — на языке бизнеса.
Технический отчёт — детальное описание каждой уязвимости: шаги воспроизведения, скриншоты, PoC-код, CVSS-оценка, ссылки на CVE, конкретные рекомендации по устранению с примерами правильной конфигурации. Для вашей ИТ-команды и разработчиков.
После устранения критических уязвимостей хорошие подрядчики проводят бесплатную верификацию (ретест) в рамках проекта — убеждаются, что найденные проблемы действительно закрыты.
Пентест с лицензией ФСТЭК
Аудит безопасности и пентест от System Networks →Лицензия ФСТЭК · OWASP/PTES методологии · отчёт для регулятора · ретест включён · от 120 000 ₽
Частые вопросы о пентесте и сканировании уязвимостей
Чем отличается пентест от сканирования уязвимостей?
Сканер уязвимостей — автоматический инструмент, который находит известные уязвимости по базам CVE. Пентест — ручная работа специалиста, который не просто находит уязвимости, но и эксплуатирует их, оценивает реальный ущерб и строит цепочки атак. Сканер показывает «что есть», пентест показывает «что реально можно сделать с этим».
Сколько стоит пентест для среднего бизнеса?
Пентест веб-приложения — от 120 000 до 400 000 рублей. Пентест корпоративной инфраструктуры (внутренний + внешний периметр) — от 300 000 до 1 200 000 рублей. Стоимость зависит от глубины тестирования, количества IP-адресов и приложений, срока работ.
Как часто нужно проводить пентест?
Большинство компаний проводят пентест раз в год. При значимых изменениях инфраструктуры — запуск нового продукта, крупные миграции — обязательно дополнительное тестирование. Сканирование уязвимостей нужно проводить чаще — ежемесячно или еженедельно.
Нужна ли лицензия ФСТЭК для проведения пентеста?
Да, компания-подрядчик, оказывающая услуги пентеста, должна иметь лицензию ФСТЭК на ТЗКИ. Без лицензии результаты тестирования юридически не имеют силы, а договор может быть признан недействительным.
Какие методологии используются при пентесте?
Наиболее распространены OWASP Testing Guide (для веб-приложений), PTES (Penetration Testing Execution Standard) и NIST SP 800-115. Хорошие подрядчики комбинируют несколько методологий и адаптируют их под конкретную инфраструктуру клиента.