Представьте ситуацию: компания успешно работает, ИТ-инфраструктура растёт, проекты сменяют друг друга, отделы закупают новое оборудование. А где-то в серверной пыли, в забытой стойке или на виртуальной машине, о которой все забыли, продолжает работать устройство с прошивкой десятилетней давности. Именно оно становится той самой открытой дверью, через которую злоумышленники входят в сеть, уводя данные, останавливая производство и нанося ущерб, исчисляемый миллионами.
В этой статье мы в Sympace® расскажем, как найти «крота» раньше, чем он найдёт вас.
Почему «старое железо» — это скрытая угроза для бизнеса
Мы привыкли думать, что основная угроза исходит извне: хакеры атакуют периметр, сканируют порты, подбирают пароли. Но часто они заходят через парадный вход, который мы забыли запереть. Старое оборудование — это не просто морально устаревший хлам. Это:
- Непропатченные уязвимости. Производитель давно выпустил обновление, закрывающее критическую брешь, но устройство его так и не получило.
- Устаревшие протоколы шифрования и аутентификации. То, что было нормой 5 лет назад, сегодня взламывается за минуты.
- Забытые «тестовые» учётные записи. Логины и пароли, оставленные для отладки, которые известны половине подрядчиков и бывших сотрудников.
Проблема усугубляется тем, что сетевая инфраструктура современного бизнеса перестала быть однородной. Это сложный организм, где физические серверы соседствуют с виртуальными средами, а промышленные контроллеры — с офисными маршрутизаторами. И у каждого из этих устройств есть свой «мозг» — прошивка.
Охота на «призраков»: где искать дыры
Аудит безопасности в 2026 году — это не просто сканирование портов. Это многослойная процедура, которая начинается с поиска того, о существовании чего вы даже не подозревали.
1. Забытое сетевое железо и тестовые полигоны
Был такой случай: при пентесте крупной компании специалисты нашли забытый веб-сервис с пятиуровневым доменным именем. Доступ к нему осуществлялся по паре admin/admin, а внутри хранились данные всех пользователей в открытом виде. Этот сервис не значился ни в одной документации, но был доступен извне и стал идеальным плацдармом для атаки на внутреннюю сеть.
Это классика жанра. Тестовые стенды, стенды для разработчиков, демо-зоны для партнёров — они создаются быстро, а живут годами. Их часто не включают в регламенты обновления, потому что «они же не для продакшна». Но сеть у
Еще пример из недавнего прошлого: в 2024 году исследователи обнаружили, что прошивка устройств Pulse Secure (Ivanti) базируется на CentOS 6.4, выпущенной 11 лет назад. В ней нашли более 5000 уязвимостей в Python-скриптах и Perl, не обновлявшийся 23 года. Злоумышленники активно использовали эти дыры (CVE-2023-46805, CVE-2024-21887) для атак. Производитель объявлял о проблемах, но сколько устройств так и остались неприведёнными в порядок?
2. Прошивки
Если операционную систему на сервере ещё как-то обновляют, то прошивки (firmware) сетевых устройств, контроллеров, принтеров, IP-камер обновляются по остаточному принципу. А зря. Уязвимости в прошивке — это мечта хакера. Они позволяют внедрить код, который переживёт переустановку ОС и останется незамеченным для антивирусов.
Пример с «ReVault» (2025 год) — яркое тому подтверждение. Уязвимости в прошивке Dell ControlVault3 позволяли злоумышленникам с физическим доступом или удалённо обходить аутентификацию Windows, воровать криптографические ключи и сохранять доступ даже после полной переустановки системы. Вредоносный код прятался непосредственно в чипе.
Или взять промышленный сектор (OT). В нефтегазовой отрасли на контроллерах Rockwell ControlLogix 5580 с определённой версией прошивки (32.011) была найдена критическая уязвимость (CVE-2024-6077). Но из-за несоответствия в базах данных (уязвимость была привязана к другой модели), сканеры безопасности её пропускали. Оборудование выглядело защищённым, но оставалось уязвимым, подвергая риску многомиллионные производства.
Как проводить аудит прошивок
Недостаточно просто зайти в веб-интерфейс и посмотреть версию. Нужна глубокая проверка:
- Сверка версий прошивок всех сетевых устройств (коммутаторов, маршрутизаторов, межсетевых экранов) с базами уязвимостей (CVE).
- Проверка цифровых подписей прошивок. Не подменил ли кто-то образ при загрузке?
- Анализ настроек безопасности самих устройств (безопасная конфигурация).
3. Необновляемое и «брошенное» ПО
Устаревшее программное обеспечение на серверах — бич даже самых прогрессивных компаний. Мы говорим не только о Windows Server 2008, поддержка которого прекращена. Речь о специализированном ПО, которое когда-то написал сторонний разработчик, о самописных CRM, о базах данных с неиспользуемыми, но живыми и доступными извне API.
Исследования показывают, что забытые API — один из главных векторов атак. В 2024 году их число выросло на 41%. Переход на новую версию API часто оставляет старую «дверь» открытой. Количество устаревших библиотек и скриптов на серверах может исчисляться тысячами, и каждая из них — потенциальная точка входа.
Проблема учётных записей: отдельная история — учётные записи сервисов и уволенных сотрудников. Они продолжают висеть в Active Directory, имея доступ к ресурсам. Злоумышленники, получив даже небольшой доступ, охотятся за такими «спящими» аккаунтами для повышения привилегий.
Системный подход: как провести аудит, который реально работает
Мы в Sympace® убеждены: аудит безопасности — это не разовая акция «для галочки», а непрерывный процесс. Он должен быть встроен в ИТ-менеджмент компании. Если вы хотите провести ревизию самостоятельно или понять, что требовать от подрядчиков, алгоритм действий выглядит так:
Инвентаризация всего и вся. Без этого никуда. Нельзя защитить то, о чём вы не знаете. Используйте инструменты автоматического обнаружения (Automatic Discovery), которые сканируют все подсети, включая облачные сегменты, и сверяют результаты с вашей CMDB. Задача — найти все «серые» активы, неучтённые в документации. Важно проводить это сканирование системно и регулярно, а не раз в пять лет.
Сканирование на уязвимости (классическое). Сканер должен работать по расписанию и учитывать критичность систем. Серверы баз данных сканируем ночью, рабочие станции — днём. Но не надейтесь на сканеры на 100% — помните пример с Rockwell? Они могут давать ложноотрицательные результаты, если база устарела или данные сопоставлены неверно.
Глубокий анализ конфигураций и прошивок. Самый сложный и важный этап. Нужно не просто найти уязвимость, а понять, является ли она эксплуатируемой в вашем контексте. Требуется анализ не только версий ОС, но и версий прошивок всего железа — от маршрутизаторов до принтеров и контроллеров вентиляции.
Анализ цепочек доверия и зависимостей. Аудит должен показать, что произойдёт, если будет взломан забытый тестовый стенд. Какие у него есть связи с продуктивной средой? Есть ли изоляция? В упомянутом кейсе с веб-сервисом, атакующие, взломав забытый сервис, смогли через него достучаться до контроллера домена (DC), так как сетевое взаимодействие между ними не было запрещено.
Реагирование и план устранения. Найти проблемы — только полдела. Важно их устранить. Процесс должен быть формализован: владельцы активов получают уведомления, назначаются сроки (SLA) в зависимости от критичности, а после исправления проводится повторная проверка. Если владелец сервиса отказывается обновлять ПО, он должен письменно принять риск.
Плюсы и минусы проактивного аудита
Плюсы:
- Предотвращение финансовых потерь от утечек и простоев.
- Соответствие требованиям регуляторов (ФСТЭК, приказы Минцифры).
- Прозрачная ИТ-картина, позволяющая оптимизировать расходы.
- Спокойствие акционеров и совета директоров.
Минусы:
- Требует выделения ресурсов (времени команды, бюджета на инструменты или подрядчика).
- Может временно нагружать сеть и системы (при грамотном планировании это нивелируется).
- Открывает «неудобную правду», которую ИТ-отделу придётся исправлять, а не заметать под ковёр.
Безопасность инфраструктуры сегодня — это не столько про отражение атак в моменте, сколько про архитектуру и гигиену. Нельзя купить один «волшебный» файервол и забыть об угрозах. Самая дорогая защита бесполезна, если где-то в углу работает устройство с прошивкой, которая не обновлялась годами.
Именно здесь компания Sympace® становится для бизнеса не просто поставщиком, а надёжным ИТ-партнёром.
Мы предлагаем комплексный подход, который начинается задолго до подписания акта приёмки оборудования. Наша роль — помочь разобраться в сложных технических вопросах и подобрать такие технологии и процессы, которые сделают вашу инфраструктуру прозрачной и управляемой. Ведь комфортный сервис — это когда вы точно знаете, что у вас есть, и уверены в безопасности каждого элемента.