mt cloud запускает сервис CPT: непрерывный пентест для защиты внешнего периметра

Российский облачный провайдер mt cloud запустил новый сервис непрерывного тестирования на проникновение (Continuous Penetration Testing, CPT), предназначенный для постоянного контроля защищённости внешнего периметра ИТ-инфраструктуры. Об этом журналу RUБЕЖ рассказали в пресс-службе компании.

Решение позволяет организациям соответствовать требованиям ФСТЭК России, в том числе по оценке критичности уязвимостей в программном и программно-аппаратном обеспечении, а также выстраивать сквозной процесс управления выявленными рисками.

Почему эпизодический пентест больше не работает

В условиях роста автоматизированных атак и экспансии распределённой инфраструктуры — микросервисов, DevOps-сред, тестовых контуров и подрядчиков — внешний периметр компании стал динамичным, фрагментированным и плохо контролируемым. Эпизодические проверки раз в квартал или даже месяц уже не обеспечивают реальной защиты: за это время появляются новые активы, меняются конфигурации, обновляются сервисы — и вместе с ними — новые векторы проникновения.

Именно поэтому рынок переходит к модели непрерывного тестирования на проникновение (Continuous Penetration Testing, CPT). Российский облачный провайдер mt cloud одним из первых в стране запустил такой сервис, полностью адаптированный под требования ФСТЭК России и российскую ИТ-экосистему.

Как работает CPT от mt cloud

Сервис автоматически и регулярно сканирует все интернет-доступные ресурсы компании — от основных доменов до забытых поддоменов и IP-адресов тестовых сред. Полный цикл анализа занимает не более 8 часов, независимо от масштаба инфраструктуры, и включает:

1. Разведку активов: поиск поддоменов (Subfinder, Amass), рекурсивный анализ DNS, проверка на возможность угона доменов (Subjack).

2. Инвентаризацию: высокоскоростное сканирование портов (Masscan) и определение версий сервисов (Nmap + кастомные пробы).

3. Поиск уязвимостей: автоматический запуск эксплойтов (NSE, NASL), сверка с NIST и CVEdetails, проверка на слабые пароли.

4. Анализ веб-приложений: картирование (Katana), перебор путей (Dirsearch), анализ CMS, проверка заголовков безопасности, детекция WAF и сканирование по OWASP Top-10 (ZAP, Nuclei).

5. Визуализацию: автоматическая съёмка скриншотов всех веб-сервисов для быстрой оценки «живых» точек входа.

Особое внимание уделено валидации результатов: каждая найденная уязвимость подтверждается PoC-сценарием (например, curl- или docker-скриптом), что минимизирует ложные срабатывания и превращает отчёт из формального перечня CVE в рабочий инструмент для SOC- и DevOps-команд.

Соответствие требованиям и практическая польза

Сервис разработан с учётом Методики ФСТЭК по оценке критичности уязвимостей и позволяет организациям не только выявлять риски, но и выполнять нормативные обязательства. При этом CPT от mt cloud корректно работает с отечественным ПО, промышленными протоколами и нестандартными стеками — что особенно важно для критической инфраструктуры.

«Регулярное сканирование внешнего периметра должно успевать за изменениями инфраструктуры, обеспечивать полное покрытие и подтверждать уязвимости. Только тогда отчёт становится реальным рабочим инструментом», — отмечает Виктор Виноградов, директор по информационной безопасности mt cloud.