Cybersicherheit erfordert oft eine vorausschauende Perspektive. Den Bedrohungen immer einen Schritt voraus zu sein, bedeutet, dass Sicherheitsteams proaktiv denken müssen: Sie müssen neue Bedrohungen vorhersehen, vorhersagen, wie sich die Taktiken der Angreifer in den kommenden Monaten ändern könnten, und darüber nachdenken, wie sie neue Angriffsflächen verhindern können.
Der Blick in die Vergangenheit, um zu verstehen und zu bewerten, wie sich vergangene Aktivitäten entwickelt haben, ist jedoch ein wichtiger Bestandteil dieser proaktiven Denkweise. Durch die Analyse der Vergangenheit können Sicherheitsteams besser vorhersehen, was in der Zukunft passieren könnte, und sich darauf vorbereiten. Deshalb werden wir in diesem Blog untersuchen, warum der Zugang zu historischen Internet-Informationen eine unschätzbare Bereicherung für jedes Sicherheitsteam ist, und erörtern, wie Sie diese historische Perspektive mit Censys gewinnen können.
Was macht historische Daten so nützlich?
Sie sind in der Lage, Muster zu erkennen und die Infrastruktur von Angreifern zu verfolgen.
Historische Bedrohungsdaten ermöglichen es Bedrohungsjägern, Bedrohungsmuster zu erkennen und die Infrastruktur von Angreifern im Laufe der Zeit zu verfolgen. Bedrohungsakteure verwenden Infrastrukturen wie IP-Adressen, Domänen und SSL-Zertifikate oft über mehrere Kampagnen hinweg wieder. Durch die Analyse historischer Daten können Bedrohungsjäger diese Muster aufdecken und so künftige Angriffe leichter vorhersagen und ihnen zuvorkommen.
Sie können eine Zeitleiste der Ereignisse erstellen.
Einer der wichtigsten Vorteile historischer Bedrohungsdaten ist die Möglichkeit, eine Zeitleiste der Ereignisse zu erstellen. Das Verständnis der Abfolge von Ereignissen, die zu einem Sicherheitsvorfall geführt haben, ist für eine effektive Berichterstattung und Abhilfe entscheidend. Es ist auch oft ein notwendiger Teil einer angemessenen Reaktion auf einen Vorfall, insbesondere wenn Kundendaten gefährdet wurden oder wenn man in stark regulierten Branchen arbeitet. Ein umfassender Zeitplan hilft dabei, den Ausgangspunkt der Kompromittierung, die vom Angreifer verwendeten Methoden und das Ausmaß des Schadens zu ermitteln.
Sie können den nötigen Kontext gewinnen.
Der Kontext ist entscheidend, wenn es darum geht, festzustellen, ob eine Aktivität bösartig oder harmlos ist. Historische Bedrohungsdaten können den nötigen Kontext liefern, um die Bedeutung aktueller Ereignisse zu verstehen. Ein Beispiel: Eine Zunahme des Netzwerkverkehrs von einer bestimmten IP-Adresse mag auf den ersten Blick harmlos erscheinen. Wenn historische Daten jedoch zeigen, dass diese IP-Adresse in der Vergangenheit mit bösartigen Aktivitäten in Verbindung gebracht wurde, erhöht sich das Bedrohungsniveau erheblich.
Sie können die Zuordnung von Bedrohungen erleichtern.
Die Zuordnung von Cyberangriffen zu bestimmten Bedrohungsakteuren ist ein komplexer, aber wesentlicher Aspekt von Bedrohungsabwehr. Historische Bedrohungsdaten spielen in diesem Prozess eine wichtige Rolle, da sie eine Fülle von Daten liefern, die dazu verwendet werden können, verschiedene Angriffe mit demselben Akteur oder derselben Gruppe zu verbinden. Dies ist besonders wertvoll, wenn es um fortgeschrittene, anhaltende Bedrohungen (Advanced Persistent Threats, APTs) geht, die sich durch ihre Heimlichkeit und Ausdauer auszeichnen. Historische Daten können den Strafverfolgungsbehörden sogar die glaubwürdigen Beweise liefern, die sie benötigen, um Bedrohungsakteure zur Rechenschaft zu ziehen und ihre Auswirkungen auf künftige Ziele zu mindern.
Sie können die historischen Trends analysieren.
Wenn Sie daran interessiert sind, allgemeine Trends im Internet zu beobachten (ein wichtiges Ziel für Sicherheitsforscher), ist die Fähigkeit, in der Zeit zurückzuspringen, unabdingbar. Eine historische Betrachtung kann Aufschluss darüber geben, wie sich die Taktiken der Angreifer verändert haben, wie bestimmte Host-Typen zunehmend Ziel von Angriffen wurden oder nicht, wie sich die Bedrohungsaktivitäten in bestimmten Branchen im Laufe der Zeit verändern, wie sich eine bestimmte Ransomware-Kampagne über mehrere Monate hinweg auf Unternehmen ausgewirkt hat ... die Liste ließe sich fortsetzen.
Eine historische Perspektive gewinnen mit Censys
Censys bietet Zugang zu dieser Art von wertvollen historischen Daten. Auf jeder Hostseite in Censys Searchfinden Sie am oberen Rand ein Symbol "Historie", das Ihnen eine eine umgekehrte Chronologie der Ereignisse im Zusammenhang mit der Host-Aktivität. Dies kann Informationen darüber enthalten, wie Dienste auf dem Host auftauchten und verschwanden, wie neue Zertifikate präsentiert wurden oder wie sich der Standort änderte - Details, die besonders nützlich sind, wenn man sich den Verlauf eines kompromittierten oder verdächtigen Hosts ansieht.
In dieser Ansicht können Sie auch verschiedene Punkte in der Chronologie der Ereignisse eines Hosts vergleichen, was besonders nützlich sein kann, wenn Sie verstehen wollen, ob und wie sich ein Host zwischen zwei Zeitpunkten verändert hat.
Wie weit dieser Zeitstrahl zurückreicht, hängt von Ihrem Censys Search Paket ab. Alle Nutzer verfügen über mindestens eine Woche an historischen Daten, während andere Pakete bis zu zwei Jahre an historischen Daten bieten.
Ein Beispiel dafür, wie historische Daten Beobachtungen über Hosts im Laufe der Zeit erleichtern können.
Wenn Sie außerhalb dieser Host-spezifischen historischen Ansicht eine historische Suche durchführen möchten, um eine Frage wie "Gab es an einem bestimmten Tag in der Vergangenheit eine Spitze in der Anzahl der aktiven Hosts, die bestimmte Merkmale aufweisen" zu beantworten, können Sie die Leistung von BigQuery von Google. Censys Historische Daten können durch die Ausführung von SQL-Abfragen über die BigQuery-Schnittstelle von Google abgerufen werden. Wer über fortgeschrittene Censys Search Pakete verfügt und tägliche Snapshots in BigQuery herunterlädt oder darauf zugreift, kann das Internet so durchsuchen, wie es von Censys zu einem historischen Zeitpunkt beobachtet wurde.
Sie können sich unseren "Blog-Artikel "Wo die seltsamen Dinge sind finden Sie ein ausführlicheres Beispiel für die Durchführung einer historischen Suche nach Censys Daten in BigQuery.
Historische Daten in der Praxis
Das Censys Forschungsteam nutzte historische Daten, um eine Untersuchung der NTC Vulkan Infrastruktur, die offensive Cyber-Tools beinhaltet. Das Team nutzte historische Analysen, um einen GitLab-Server zu identifizieren, den die NTC Vulkan Group möglicherweise früher zur Entwicklung von Tools für eine Cyber-Einheit des russischen Militärgeheimdienstes genutzt hat. Die Untersuchung der Historie der Hosts von NTC Vulkan half dem Team, mehr über die Kernfunktionen dieser verdächtigen Hosts und die Organisation selbst zu erfahren.
Historische Daten waren auch ein Dreh- und Angelpunkt bei der Untersuchung der russischen Ransomware, da sie dem Team die Möglichkeit gaben, ein mutmaßliches Malware-Kit zu einem früheren Zeitpunkt zu analysieren. Dabei konnte das Team das Vorhandensein eines früheren C2-Zertifikats sowie einer Domain feststellen, die nachweislich mit einer bekannten gegnerischen Gruppe in Verbindung stand. Anhand dieser historischen Analyse kam das Team zu dem Schluss, dass der betreffende Host glaubhaft als Teil eines Ransomware-C2-Netzwerks angesehen werden kann.
Mit der Geschichte von gestern muss das Morgen kein Rätsel mehr sein
Unterschätzen Sie nicht die Macht der historischen Daten! Mit dem Zugriff auf historische Daten können Sie leichter Muster erkennen, die Infrastruktur von Angreifern nachverfolgen, umfassende Zeitpläne erstellen, das kontextbezogene Bewusstsein verbessern und die Zuordnung von Bedrohungen erleichtern. Unternehmen können diese historische Sichtweise nutzen, um für die Zukunft zu planen und die Erkenntnisse zu gewinnen, die sie benötigen, um den Angreifern einen Schritt voraus zu sein und ihre Verteidigung zu stärken.
Überzeugen Sie sich selbst von unseren historischen Daten! Besuchen Sie Censys Search um ein Konto zu erstellen und loszulegen.
