Об этом написали: IT-World | CNews | TAdviser | CISOCLUB | RUБЕЖ Российский облачный провайдер mt cloud объявляет о запуске сервиса для непрерывной проверки защищенности внешней ИТ-инфраструктуры — Continuous Penetration Testing (CPT). Сервис позволяет компаниям выполнить требования ФСТЭК России в соответствии с ранее утвержденной Методикой оценки критичности уязвимостей программных, программно-аппаратных средств, а также организовать комплексный процесс управления уязвимостями.Уязвимости и
ошибки конфигурации на
внешнем периметре остаются одним из
ключевых путей проникновения в
ИТ-инфраструктуру. Сегодня этот
риск многократно усиливается: атаки стали массовыми и
автоматизированными, а
сама инфраструктура — распределенной и
сложной. Из-за микросервисов, DevOps-подходов, тестового контура и работы с
подрядчиками периметр становится более динамичным и
трудным для
инвентаризации. В
этих условиях эпизодические проверки создают лишь иллюзию защищенности, а
нерешенные проблемы накапливаются, превращая угрозы в
реальные инциденты.
Рынок смещается в
сторону модели регулярной многократной проверки каждого домена и IP-адреса. Новый сервис CPT переводит контроль внешнего периметра в
этот режим непрерывного мониторинга. Его архитектура покрывает полный цикл разведки и
атак на
внешний периметр:
- Сетевая разведка – поиск активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность угона доменов (Subjack).
- Инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes).
- Поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также тестирование на слабые пароли (Hydra, Patator).
- Анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), выявление WAF и поиск уязвимостей по базам OWASP Top-10 (ZAP) и Nuclei.
- Визуализация – автоматическая съемка скриншотов всех активных веб-сервисов для быстрой оценки "живых" точек входа.
CPT автоматизирует контроль внешнего периметра в
режиме 24/7. Сервис находит все
доступные из
интернета ресурсы компании, проверяет открытые порты и
контролирует их
соответствие разрешенному списку. Он
выявляет отсутствующие обновления ПО, ошибки конфигурации веб-фреймворков, ведущие к
утечкам данных, и
ранжирует уязвимости по
степени опасности. Полное сканирование всех активов занимает не более 8 часов вне
зависимости от
объёма инфраструктуры. Сервис выполняет автоматическую валидацию найденных уязвимостей с
формированием PoC-сценариев (скрипты для curl, docker). Процесс валидации не
только подтверждает возможность практической эксплуатации уязвимостей, но и
сводит к
минимуму количество ложных срабатываний. В
итоге отчет перестает быть формальным списком CVE и
становится понятным рабочим инструментом для
команды.
Виктор Виноградов, директор по
информационной безопасности mt
cloud, прокомментировал: «Уязвимости и
ошибки конфигурации на
периметре являются одним из
основных векторов проникновения в
ИТ-инфраструктуру компаний. Регулярное сканирование внешнего периметра позволяет оперативно выявлять уязвимости и
устранять их
до того, как ими
воспользуются злоумышленники. При
этом сканирование должно успевать за
изменениями быстро меняющейся инфраструктуры, обеспечивать полное покрытие внешней поверхности атаки с
помощью единого сервиса и
корректно работать с
отечественным ПО и
нестандартными протоколами. Важно также подтверждать найденные уязвимости и
предоставлять командам подробную информацию, связанную с
ними, — тогда отчет становится реальным рабочим инструментом».
О компании: mt
cloud — облачный провайдер с
высокопроизводительной, отказоустойчивой инфраструктурой, рассчитанной на
высокие нагрузки и
требования к
информационной безопасности. Компания специализируется на
предоставлении облачной экосистемы и
сервисов для решения сложных инфраструктурных задач и
не
типовых сценариев. Инфраструктура и
сервисы компании сертифицированы в
соответствии с
требованиями Федерального закона №
152-ФЗ «О
персональных данных» и
стандартом PCI
DSS.