mt cloud представил сервис CPT для контроля уязвимостей во внешнем периметре

Российский облачный провайдер mt cloud объявляет о запуске сервиса для непрерывной проверки защищенности внешней ИТ-инфраструктуры — Continuous Penetration Testing (CPT). Сервис позволяет компаниям выполнить требования ФСТЭК России в соответствии с ранее утвержденной Методикой оценки критичности уязвимостей программных и программно-аппаратных средств, а также организовать комплексный процесс управления уязвимостями.

Уязвимости и ошибки конфигурации на внешнем периметре остаются одним из ключевых путей проникновения в ИТ-инфраструктуру. Сегодня этот риск многократно усиливается: атаки стали массовыми и автоматизированными, а сама инфраструктура — распределенной и сложной. Из-за микросервисов, DevOps-подходов, тестового контура и работы с подрядчиками периметр становится более динамичным и трудным для инвентаризации. В этих условиях эпизодические проверки создают лишь иллюзию защищенности, а нерешенные проблемы накапливаются, превращая угрозы в реальные инциденты.

Рынок смещается в сторону модели регулярной многократной проверки каждого домена и IP-адреса. Новый сервис CPT переводит контроль внешнего периметра в этот режим непрерывного мониторинга. Его архитектура покрывает полный цикл разведки и атак на внешний периметр:

1. Сетевая разведка – поиск активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность угона доменов (Subjack).
2. Инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes).
3. Поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также тестирование на слабые пароли (Hydra, Patator).
4. Анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), выявление WAF и поиск уязвимостей по базам OWASP Top-10 (ZAP) и Nuclei.
5. Визуализация – автоматическая съемка скриншотов всех активных веб-сервисов для быстрой оценки «живых» точек входа.

CPT автоматизирует контроль внешнего периметра в режиме 24/7. Сервис находит все доступные из интернета ресурсы компании, проверяет открытые порты и контролирует их соответствие разрешенному списку. Он выявляет отсутствующие обновления ПО, ошибки конфигурации веб-фреймворков, ведущие к утечкам данных, и ранжирует уязвимости по степени опасности. Полное сканирование всех активов занимает не более 8 часов вне зависимости от объёма инфраструктуры. Сервис выполняет автоматическую валидацию найденных уязвимостей с формированием PoC-сценариев (скрипты для curl, docker). Процесс валидации не только подтверждает возможность практической эксплуатации уязвимостей, но и сводит к минимуму количество ложных срабатываний. В итоге отчет перестает быть формальным списком CVE и становится понятным рабочим инструментом для команды.

Виктор Виноградов, директор по информационной безопасности mt cloud, прокомментировал: «Уязвимости и ошибки конфигурации на периметре являются одним из основных векторов проникновения в ИТ-инфраструктуру компаний. Регулярное сканирование внешнего периметра позволяет оперативно выявлять уязвимости и устранять их до того, как ими воспользуются злоумышленники. При этом сканирование должно успевать за изменениями быстро меняющейся инфраструктуры, обеспечивать полное покрытие внешней поверхности атаки с помощью единого сервиса и корректно работать с отечественным ПО и нестандартными протоколами. Важно также подтверждать найденные уязвимости и предоставлять командам подробную информацию, связанную с ними, — тогда отчет становится реальным рабочим инструментом».

О компании: mt cloud — облачный провайдер с высокопроизводительной, отказоустойчивой инфраструктурой, рассчитанной на высокие нагрузки и требования к информационной безопасности. Компания специализируется на предоставлении облачной экосистемы и сервисов для решения сложных инфраструктурных задач и нетиповых сценариев. Инфраструктура и сервисы компании сертифицированы в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и стандартом PCI DSS.