mt cloud представил сервис CPT для контроля уязвимостей во внешнем периметре

Сервис позволяет компаниям выполнить требования ФСТЭК России в соответствии с ранее утвержденной Методикой оценки критичности уязвимостей программных, программно-аппаратных средств, а также организовать комплексный процесс управления уязвимостями.

Уязвимости и ошибки конфигурации на внешнем периметре остаются одним из ключевых путей проникновения в ИТ-инфраструктуру. Сегодня этот риск многократно усиливается: атаки стали массовыми и автоматизированными, а сама инфраструктура — распределенной и сложной. Из-за микросервисов, DevOps-подходов, тестового контура и работы с подрядчиками периметр становится более динамичным и трудным для инвентаризации. В этих условиях эпизодические проверки создают лишь иллюзию защищенности, а нерешенные проблемы накапливаются, превращая угрозы в реальные инциденты.

Рынок смещается в сторону модели регулярной многократной проверки каждого домена и IP-адреса. Новый сервис CPT переводит контроль внешнего периметра в этот режим непрерывного мониторинга. Его архитектура покрывает полный цикл разведки и атак на внешний периметр:

1. Сетевая разведка – поиск активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность угона доменов (Subjack).
2. Инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes).
3. Поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также тестирование на слабые пароли (Hydra, Patator).
4. Анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), выявление WAF и поиск уязвимостей по базам OWASP Top-10 (ZAP) и Nuclei.
5. Визуализация – автоматическая съемка скриншотов всех активных веб-сервисов для быстрой оценки "живых" точек входа.

CPT автоматизирует контроль внешнего периметра в режиме 24/7. Сервис находит все доступные из интернета ресурсы компании, проверяет открытые порты и контролирует их соответствие разрешенному списку. Он выявляет отсутствующие обновления ПО, ошибки конфигурации веб-фреймворков, ведущие к утечкам данных, и ранжирует уязвимости по степени опасности. Полное сканирование всех активов занимает не более 8 часов вне зависимости от объёма инфраструктуры. Сервис выполняет автоматическую валидацию найденных уязвимостей с формированием PoC-сценариев (скрипты для curl, docker). Процесс валидации не только подтверждает возможность практической эксплуатации уязвимостей, но и сводит к минимуму количество ложных срабатываний. В итоге отчет перестает быть формальным списком CVE и становится понятным рабочим инструментом для команды.