mt cloud Continuous Penetration Testing (CPT)

Основные статьи:

• Security Information and Event Management (SIEM)
• Pentesting (пентестинг)

2026: Запуск Continuous Penetration Testing

Российский облачный провайдер mt cloud 5 марта 2026 года сообщил о запуске сервиса для непрерывной проверки защищенности внешней ИТ-инфраструктуры — Continuous Penetration Testing (CPT). Сервис позволяет компаниям выполнить требования ФСТЭК России в соответствии с ранее утвержденной Методикой оценки критичности уязвимостей программных, программно-аппаратных средств, а также организовать комплексный процесс управления уязвимостями.

Уязвимости и ошибки конфигурации на внешнем периметре остаются одним из ключевых путей проникновения в ИТ-инфраструктуру. Этот риск многократно усиливается: атаки стали массовыми и автоматизированными, а сама инфраструктура — распределенной и сложной. Из-за микросервисов, DevOps-подходов, тестового контура и работы с подрядчиками периметр становится более динамичным и трудным для инвентаризации. В этих условиях эпизодические проверки создают лишь иллюзию защищенности, а нерешенные проблемы накапливаются, превращая угрозы в реальные инциденты.Колибри-АРМ: крупное обновление 26.02 с шифрованием Linux, API и расширенным аудитом 3.4 т

Рынок смещается в сторону модели регулярной многократной проверки каждого домена и IP-адреса. Сервис CPT переводит контроль внешнего периметра в этот режим непрерывного мониторинга. Его архитектура покрывает полный цикл разведки и атак на внешний периметр:

1. Сетевая разведка – поиск активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность угона доменов (Subjack).
2. Инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes).
3. Поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также тестирование на слабые пароли (Hydra, Patator).
4. Анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), выявление WAF и поиск уязвимостей по базам OWASP Top-10 (ZAP) и Nuclei.
5. Визуализация – автоматическая съемка скриншотов всех активных веб-сервисов для быстрой оценки "живых" точек входа.

CPT автоматизирует контроль внешнего периметра в режиме 24/7. Сервис находит все доступные из интернета ресурсы компании, проверяет открытые порты и контролирует их соответствие разрешенному списку. Он выявляет отсутствующие обновления ПО, ошибки конфигурации веб-фреймворков, ведущие к утечкам данных, и ранжирует уязвимости по степени опасности. Полное сканирование всех активов занимает не более 8 часов вне зависимости от объёма инфраструктуры. Сервис выполняет автоматическую валидацию найденных уязвимостей с формированием PoC-сценариев (скрипты для curl, docker).

Процесс валидации не только подтверждает возможность практической эксплуатации уязвимостей, но и сводит к минимуму количество ложных срабатываний. В итоге отчет перестает быть формальным списком CVE и становится понятным рабочим инструментом для команды.

Уязвимости и ошибки конфигурации на периметре являются одним из основных векторов проникновения в ИТ-инфраструктуру компаний. Регулярное сканирование внешнего периметра позволяет оперативно выявлять уязвимости и устранять их до того, как ими воспользуются злоумышленники. При этом сканирование должно успевать за изменениями быстро меняющейся инфраструктуры, обеспечивать полное покрытие внешней поверхности атаки с помощью единого сервиса и корректно работать с отечественным ПО и нестандартными протоколами. Важно также подтверждать найденные уязвимости и предоставлять командам подробную информацию, связанную с ними, — тогда отчет становится реальным рабочим инструментом, сказал Виктор Виноградов, директор по информационной безопасности mt cloud.