Облачный провайдер mt cloud из России представил сервис непрерывного тестирования на проникновение (Continuous Penetration Testing, CPT) для внешней ИТ-инфраструктуры. Данное решение помогает организациям соответствовать требованиям ФСТЭК России, опираясь на утвержденную методику определения критичности уязвимостей в программном обеспечении и программно-аппаратных комплексах, а также выстраивать целостную систему управления уязвимостями.
Уязвимости и некорректные настройки на внешнем периметре по-прежнему являются одним из основных векторов атак на ИТ-инфраструктуру. В современных условиях этот риск значительно возрос: атаки приобрели массовый и автоматизированный характер, а сама инфраструктура стала сложной и распределенной. Из-за распространения микросервисов, DevOps-практик, наличия тестовых сред и взаимодействия с подрядчиками периметр стал более изменчивым и сложным для полного учета. В такой ситуации разовые проверки создают лишь видимость безопасности, а нерешенные проблемы накапливаются, что в итоге приводит к реальным инцидентам.
Рыночные тенденции смещаются в сторону модели регулярного и многократного контроля каждого домена и IP-адреса. Новый сервис CPT переводит защиту внешнего периметра в режим постоянного мониторинга. Его архитектура охватывает полный цикл разведки и атаки на внешний периметр: сетевая разведка – обнаружение активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность перехвата доменов (Subjack); инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes); поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также проверка на слабые пароли (Hydra, Patator); анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), обнаружение WAF и поиск уязвимостей по перечню OWASP Top-10 (ZAP) и с помощью Nuclei; визуализация – автоматическое создание скриншотов всех активных веб-сервисов для оперативной оценки «живых» точек входа.
CPT автоматизирует мониторинг внешнего периметра круглосуточно. Сервис обнаруживает все ресурсы компании, доступные из интернета, проверяет открытые порты и контролирует их соответствие разрешенному перечню. Он выявляет отсутствующие обновления программного обеспечения, ошибки в конфигурации веб-фреймворков, которые могут привести к утечке данных, и классифицирует уязвимости по уровню угрозы. Полное сканирование всех активов занимает не более 8 часов, независимо от масштаба инфраструктуры. Сервис автоматически проверяет обнаруженные уязвимости, формируя сценарии Proof-of-Concept (скрипты для curl, docker). Процесс валидации не только подтверждает возможность реальной эксплуатации уязвимостей, но и минимизирует количество ложных положительных срабатываний. В результате отчет превращается из формального списка CVE в понятный рабочий инструмент для специалистов.
Виктор Виноградов, руководитель службы информационной безопасности mt cloud, отметил: «Уязвимости и некорректные настройки на периметре сети представляют собой один из ключевых способов проникновения в ИТ-инфраструктуру организаций. Систематический аудит внешнего периметра даёт возможность своевременно обнаруживать слабые места и ликвидировать их до того, как они будут эксплуатироваться злоумышленниками. При этом сканирование должно поспевать за динамикой быстро меняющейся инфраструктуры, гарантировать полный охват внешней поверхности атаки через единый сервис, а также корректно взаимодействовать с отечественным программным обеспечением и специализированными протоколами. Не менее важно верифицировать обнаруженные уязвимости и снабжать команды детализированными сведениями о них — в этом случае отчёт превращается в практический инструмент для работы».
