Das Jahr 2024 ist in vollem Gange, was bedeutet, dass Ihr Sicherheitsteam wahrscheinlich schon fleißig daran arbeitet, seine Ziele für das erste Quartal oder das gesamte Jahr zu erreichen.
Während Ihr Team diese Ziele in Angriff nimmt und über andere Möglichkeiten nachdenkt, seine Abläufe in diesem Jahr zu verbessern, gibt es vielleicht einen (wichtigen) Bereich für Verbesserungen, den Sie übersehen haben: Ihre Internet-Intelligenz. Das heißt, die Internet-Scandaten, die Sicherheitsteams verwenden, um ihre Exposure-Management-Plattformen zu betreiben, nach Bedrohungen zu suchen, Schwachstellen zu erkennen und vieles mehr.
Internet-Intelligenz ist wichtig, weil sie die Grundlage jeder Cybersicherheitsstrategie ist, unabhängig davon, ob die Teams in diesem Sinne denken oder nicht. Entscheidungen hängen von der Verfügbarkeit und Genauigkeit von Internet-Intelligenz ab, und es sind diese Daten, die auch viele der kritischen Tools in einem Sicherheitstechnologiestapel antreiben.
Internet-Intelligenz ist auch deshalb eine Überlegung wert, weil sich herausgestellt hat, dass es immer noch eine Menge minderwertiger Internet-Datenquellen gibt. Und Ihr Team könnte eine davon nutzen. Sich auf minderwertige Daten zu verlassen, bedeutet, dass Ihr Team möglicherweise Entscheidungen auf der Grundlage von Fehlalarmen trifft, zusätzliche Zeit mit der Suche nach unvollständigen Daten verbringt, wichtige Schwachstellen übersieht ... die Liste lässt sich fortsetzen.
Sind Sie unsicher, ob die Internet-Intelligenz Ihres Teams verbesserungswürdig ist? Prüfen Sie die folgenden 24 Fragen.
24 Fragen, die Sie über Ihre Daten stellen sollten
1. wie viele Internet-Datenquellen nutzt mein Team?
Der Umgang mit mehreren Datenquellen kann zu einer uneinheitlichen, fragmentierten Sicht auf die Bedrohungslandschaft führen, die nur schwer zu verstehen und zu nutzen ist.
2. Wie viel Zeit verbringe ich mit dem Versuch, die Lücken zu füllen?
Der Aufwand, der betrieben wird, um Lücken in Ihren Daten zu schließen, ist es wert, geprüft zu werden. Die Daten sollten Ihnen in der Regel genügend Kontext bieten, um einen fundierten nächsten Schritt zu unternehmen.
3. Wie oft wird das Internet von meiner Datenquelle gescannt?
Angreifer sind ständig auf der Suche nach Schwachstellen, die sie ausnutzen können. Internetdaten, die keinen aktuellen Überblick über Schwachstellen und Bedrohungen bieten, sind für Ihr Team von Nachteil.
4. Wie oft werden die Dienste aufgefrischt?
Suchen Sie nach Daten, die alle Dienste täglich aktualisieren.
5. Zeigen mir meine Daten IPv4-Hosts, IPv6-Hosts oder beides?
Die Daten sollten sowohl die IPv4- als auch die IPv6-Hosts abdecken - Angreifer nutzen die Daten überall aus.
6. Bieten die Daten eine globale Scan-Perspektive?
Eine umfassende Abdeckung der Internet-Infrastruktur ist von größter Bedeutung. Auch hier gilt: Die Angreifer sind überall.
7. Werden virtuelle Hosts gescannt?
Virtuelle Hosts machen einen erheblichen Teil unseres Internets aus und sollten in jeder Datenquelle berücksichtigt werden.
8. Werden nicht standardisierte Ports gescannt?
60 % aller Dienste laufen über nicht standardisierte Ports. Ohne intelligentes Scannen von 65.000 Ports und Einblick in diese Dienste können Teams ihre Organisationen nicht effektiv schützen.
9. Wie sieht mein Zugang zu Zertifikaten aus?
Identifizieren Sie abgelaufene Zertifikate und führen Sie flexiblere Bedrohungsuntersuchungen mit Daten durch, die Zugriff auf ein robustes Zertifikats-Repository bieten.
10. Habe ich die Möglichkeit, die Daten zu durchsuchen?
Wenn Ihre Internetdaten nicht in ein bestehendes Tool in Ihrem Tech-Stack eingespeist werden, benötigen Sie eine Möglichkeit, die Daten direkt zu analysieren.
11. Ist es für mich schwierig, die Daten zu durchsuchen?
Die Daten sollten in einer benutzerfreundlichen Form bereitgestellt werden. Das Censys Search Tool ermöglicht den Zugriff auf die Daten von Censys durch einfache Abfragen.
12. Gibt es einen Kontext, der mir hilft, den Sinn der Daten zu verstehen?
Der Kontext ist entscheidend, besonders wenn die Zeit knapp ist. Die Daten sollten Details enthalten, die es leicht machen, sich einen Reim auf das zu machen, was präsentiert wird.
13. Kann ich den Wirtstyp sehen?
Daten mit Gerätetypkennzeichnungen ermöglichen es Ihnen, den Host-Typ eindeutig zu identifizieren, ob IoT, Datenbank, VPN usw.
14. Kann ich mir Geolokalisierungsdaten ansehen?
Der Aufenthaltsort eines Hosts kann ein wichtiger Datenpunkt bei einer Untersuchung sein.
15. Kann ich etwas über die Absicht des Gastgebers erfahren?
Ein detaillierter Einblick in offene Ports und laufende Protokolle, unabhängig von der Standard-Port-Zuweisung, sollte es ermöglichen, mehr über die Absichten des Hosts zu erfahren.
16. Enthalten die Daten Einzelheiten zur Software?
Die Softwareerkennung hilft Teams, potenzielle Bedrohungen, Risiken und Schwachstellen zu erkennen.
17. Treten in meinen Daten häufig falsch positive Ergebnisse auf?
Falschmeldungen verschwenden Zeit, führen zu Ermüdungserscheinungen und können von echten Bedrohungen ablenken. Überlegene Daten minimieren die Häufigkeit von Fehlalarmen.
18. Kann ich eine API verwenden, um die Daten in andere Systeme zu integrieren?
Die Möglichkeit, Daten in andere Systeme einzubringen, kann eine erhebliche Effizienzsteigerung bewirken.
19. Gibt es eine Möglichkeit, Daten zu einem früheren Zeitpunkt einzusehen?
Die Untersuchung von Bedrohungen kann von der Fähigkeit abhängen, Veränderungen an einem Host im Laufe der Zeit zu beobachten.
20. Wie viele neue Anlagen, die in Betrieb genommen werden, bleiben unentdeckt?
Die Teams müssen über alle neuen, unbekannten Ressourcen ihrer Organisation Bescheid wissen. Übersehene Ressourcen werden zu Gelegenheiten für Angreifer.
21. Wie schnell werden neue Vermögenswerte entdeckt?
Je früher die Teams von neuen Assets erfahren, desto eher können Sie sie schützen oder verwerfen, bevor Angreifer aktiv werden. Die Zeit bis zur Entdeckung ist eine gute Kennzahl, auf die man achten sollte.
22. Fällt es mir leicht, in den Daten Muster zu erkennen oder Beziehungen aufzudecken?
Bedrohungsjäger müssen in der Lage sein, Verbindungen zwischen Datenpunkten herzustellen - Funktionen wie Tags, Etiketten und andere Filter in einer Datenquelle können ihnen dabei helfen.
23. Sind die Daten für mich bei einem Zero-Day nützlich?
Bei einer Zero-Day-Attacke ist die Zeit von entscheidender Bedeutung. Anhand Ihrer Internetdaten sollte Ihr Team feststellen können, ob und in welchem Umfang es von einem Zero-Day betroffen ist.
24. Ist es für mein Team einfach, die Daten zu organisieren?
Die Untersuchung von Bedrohungen kann sehr komplex werden, und die Möglichkeit, Daten zu sortieren, zu markieren und zu kommentieren, kann Teams helfen, den Überblick zu behalten.
Wenn Sie bei den Antworten auf diese Fragen ins Grübeln kommen, ist es vielleicht an der Zeit, in eine bessere Quelle für Internet-Informationen zu investieren!
Um die Daten von Censys in Aktion zu sehen, besuchen Sie search.censys.io, um Abfragen auf unseren Daten durchzuführen.
Pro-Tipp: Sie können unser KI-gestütztes CensysGPT-Tool verwenden, um Abfragen in natürlicher Sprache zu stellen oder Abfragen aus anderen Sprachen zu übersetzen.
Sehen Sie Censys Daten in Aktion
