Привет, Хабр! В этой статье поделюсь опытом пилотирования продукта PT Dephaze и мыслями, заменит ли он Пентестеров, ведь мне, как Team Lead пентест-команды Тензора, был важен вопрос перспективы на будущее ;) Продуктов, автоматизирующих пентест, ранее нам не встречалось. Поэтому, можно сказать, что Positive Technologies одни из первых решили автоматизировать то, что раньше считалось прерогативой ручного труда высококвалифицированных специалистов. Как у них это получилось, мы и рассмотрим.

Что такое пентест и чем он отличается от аудита уязвимостей с помощью сканеров

Сканер уязвимостей - комбайн по сбору данных из объекта аудита. Он собирает информацию о ПО, установленном на хосте, и его конфигурациях, затем сверяет версии ПО с базой уязвимостей и выдает информацию обо всех уязвимостях, обнаруженных в этой версии ранее. По конфигурациям примерно также, только сверка идет с комплайнсом - эталонным шаблоном безопасной настройки - и выдается результат «ОК/не ОК», согласно ему. В дополнение в некоторых сканерах есть динамический анализ - фаззинг Веба, брутфорс, подтверждение, путем анализирующего эксплойта, уязвимости сервиса к некоторым CVE (например Log4Shell).

Таким образом, сканер, по сути, проводит разведку уязвимостей. Те, кто давно занимается менеджментом уязвимостей (VM), знают, что каждый месяц сканер выдает десятки новых уязвимостей, часть из которых может не реализоваться на вашей инфраструктуре в силу отсутствия необходимых условий, например, определенной настройки. Это вечная проблема инфраструктурных безопасников - дать правильную оценку тому, какие из сотни новых уязвимостей действительно могут оказать деструктивное воздействие на инфраструктуру.

Достоверно ответить на этот вопрос смогут как раз Пентестеры - специалисты, которые симулируют хакерские атаки через уязвимости самого ПО и его конфигурацию. И как раз их задача продемонстрировать, какие обнаруженные уязвимости реально опасны для инфраструктуры.

Что представляет собой PT Dephaze?

Ответ получил из первых уст еще на PHDays 2025 от создателя продукта. Все дело в разнице подходов. Если сканер уязвимостей, по сути, только ищет уязвимости и лишь в небольшой функциональной составляющей их эксплуатирует (проверяет применимость), то Dephaze сразу пытается эксплуатировать уязвимости, которые в него загружены, демонстрируя POC (proof of concept), собственно как и Пентестеры. В Dephaze автоматизированы техники, эксплойты, абьюзы мисконфигураций, которые могут привести к реальному воздействию на инфраструктуру.

Создание задачи для Dephaze - максимально простое действие.
Создание задачи для Dephaze - максимально простое действие.

Сейчас Dephaze поставляется в виде серверного образа с веб-интерфейсом (на базе Debian) и атакующего (на базе Kali Linux). Разработчик обещает добавить отечественные дистрибутивы в 2026 году. Как видим, пользователю нужно лишь указать в веб-интерфейсе адрес атакующего узла (агента), диапазон IP-адресов для атаки и нажать заветную кнопочку "поехали!". Дальше нам остается разве что ждать результата на вкладке карты сети:

В нашем случае на следующий день Dephaze показал на тестовых подсетях найденные уязвимости + DC сервера.
В нашем случае на следующий день Dephaze показал на тестовых подсетях найденные уязвимости + DC сервера.

Однако, совсем автоматизированным процесс не назвать, ведь время от времени будут приходить согласования на действия, которые могут оказать деструктивное воздействие на инфраструктуру, о чем нас и предупреждают. Согласовывать я крайне рекомендую специалисту, понимающему суть. Да-да, именно Пентестеру ;)

Вот пример для тех, кто знает, что такое зерологон и к чему он может привести ;)
Вот пример для тех, кто знает, что такое зерологон и к чему он может привести ;)

Тестирование PT Dephaze

В рамках пилота мы протестировали Dephaze на пользовательском сегменте инфраструктуры. Dephaze неторопливо, применяя техники одна за другой, начал сканирование скоупа и запустил Responder, чтобы отлавливать "шальные хеши".

У нас эта техника давно закрыта, но в "не зрелых" инфраструктурах вполне сработает.
У нас эта техника давно закрыта, но в "не зрелых" инфраструктурах вполне сработает.

После сканирования Dephaze начал точечно применять эксплойты к ПО на портах (как EternalBlue, PetitPotam, так и 2025 года, позволяющие захватить хост) и подбирать учетные данные к службам с авторизацией.

Опять же, если бы мы ранее сами не скриптовали брутфорс по открытым портам БД, то картинка была бы печальной для нас и результативной для PT Dephaze ;)
Опять же, если бы мы ранее сами не скриптовали брутфорс по открытым портам БД, то картинка была бы печальной для нас и результативной для PT Dephaze ;)

Но не только этим ограничен Dephaze. После успешной атаки, он заходит на сервер, фиксирует POC (закрепления) и развивает атаку дальше.

Известная техника закрепления. Если подбирается дефолтный логин/пароль к БД, то RCE через Program тоже сработает.
Известная техника закрепления. Если подбирается дефолтный логин/пароль к БД, то RCE через Program тоже сработает.
О SSH протоколе и Linux, конечно же, тоже не забыли.
О SSH протоколе и Linux, конечно же, тоже не забыли.

А дальше, если у вас в компании небезопасно настроена инфраструктура Active Directory, Dephaze, с помощью атак на AD, скомпрометирует инфраструктуру. Однако, поскольку мы сами пентестили свою AD неоднократно, все актуальные техники ее компрометации уже применяли и после заставили ИТ-отдел устранить все уязвимости, то дальше первоначального доступа на пользовательский хост (Dephaze в нашем случае) не продвинулся. В свою очередь, глядя на то, что Dephaze пытался сделать, я скажу с 99% уверенностью (1% оставлю на чудо): если вашу инфраструктуру Active Directory ранее не пентестили, то Dephaze ее скомпрометирует.

Заменит ли Пентестеров PT Dephaze?

Поскольку я сам являюсь Пентестером и видел Dephaze в полевых условиях, а не на стендах с презентаций, пришел к такому мнению: Dephaze можно назвать продуктом автоматизации пентеста. Он действительно решает задачи по поиску опасных уязвимостей и их эксплуатации и тем самым может стать инструментом для автоматизации рутинных задач Пентестеров, но он не заменит ручной пентест:

  • Во-первых, пентест  - это творческая деятельность. В арсенале любого опытного Пентестера, помимо умения эксплуатировать общеизвестные уязвимости, есть хитрость и ум. Умение не просто машинно запустить скрипт, а придумать сценарий, при котором можно получить больше. Умение обмануть систему безопасности и, в конце концов, придумать свою технику атаки.

  • Во-вторых, если не будет Пентестеров, то банально не будет и новых известных уязвимостей, и такие продукты, как сканеры уязвимостей и PT Dephaze, перестанут их получать.

  • В-третьих PT Dephaze - развивающийся продукт. С момента презентации его в мае 2025 года арсенал техник значительно пополнился, что говорит о серьезных планах разработчиков. Сейчас он уже может получить первоначальный доступ и проэксплуатировать инфраструктуру Active Directory. Да, это серьезный скоуп, но технологий сейчас намного больше, которые Пентестеры умеют исследовать, так что есть куда развиваться еще продукту.

Выводы

Я скептично относился к продукту автоматизации пентеста, ведь даже сканеры и VM-продукты сейчас не идеальны, хотя экспертизы там на десятки лет. Тем не менее, пилот PT Dephaze приятно удивил и можно сказать однозначно, что этот продукт Positive Technologies удачный.

Пентест в любом виде сейчас дорогой, от чего проводить его на регулярной основе - роскошь для любой компании. Как показала практика, даже через квартал, нужно заново перепроверять все. В нашем случае мы неоднократно проверяли дефолтные учетные данные, но инфраструктура динамична, и благодаря Dephaze мы нашли "новые пирожки".

С учетом регулярных обновлений атак, брать Dephaze на постоянку практическим безопасникам есть смысл. Он решает вопрос поиска уязвимостей из категории так называемых "низко висящих фруктов", когда Пентестеры могут сконцентрироваться на сложных векторах. Да, конечно, все эти атаки можно реализовать самому с помощью Kali Linux, и многие уважающие себя Пентестеры пишут самостоятельно скрипты, и это оправданно, когда есть экспертиза опытных пентестеров, их драгоценное время и джун-пентестер в команде. Но когда у вас этого нет, можно рассмотреть PT Dephaze освободив время экспертов на решение сложных задач и повысив предсказуемость результатов даже при ограниченных ресурсах

Если же в компании вообще нет команды Пентестеров и редко проводятся пентесты внешних команд, то Dephaze раскроется на "полную катушку".

В любом случае Positive Technologies сделали крутой продукт, и я буду внимательно следить за его развитием в будущем. Ну, а мы - Пентестеры - можем не переживать, работы меньше не станет... ;-)