Übersicht
Censys hat einen neuen CLI-Befehl add-seeds für das Projekt censys-python eingeführt, mit dem Kunden automatisch Seeds zu ihrer Angriffsfläche hinzufügen können, die auf den Suchbegriffen von Censys Search basieren. Dies ist ein äußerst leistungsfähiges Mittel zur Anpassung Ihrer Angriffsfläche.
Unbekannte zu finden ist schwer
Die Angriffsfläche eines Unternehmens kann sehr komplex sein. Mit Hosts, die über den ganzen Globus verstreut sind, in Rechenzentren, Büros, bei Cloud-Anbietern oder in den Heimnetzwerken der Mitarbeiter, ist es für Sicherheitsteams ein ständiger Kampf, einen Weg zu finden, um nicht verwaltete Ressourcen auszusondern. So könnte beispielsweise ein Mitarbeiter versehentlich RDP auf seinem Windows-Laptop im öffentlichen Internet von seiner privaten IP-Adresse aus aktivieren. Für Unternehmen ist es wichtig, diese Risiken zu verstehen und zu managen, auch wenn sie sich nicht offiziell in ihren eigenen "sanktionierten" Netzwerken befinden. Bei Censys bezeichnen wir den Prozess der Erkennung aller bekannten und unbekannten Hosts eines Kunden als Attribution.
Auf dem Markt für das Management von Angriffsflächen gibt es mehrere Möglichkeiten, die Attribution durchzuführen:
- Ganz und gar nicht: Es genügt zu sagen, dass einige Anbieter Ihnen lediglich die Eingabe bekannter IP-Bereiche gestatten und alles übersehen, was Sie nicht kennen, z. B. abtrünnige Hosts mit Zertifikaten, Domänen oder IPs. Unternehmen für Schwachstellenmanagement fallen in diese Kategorie. Gleiches gilt für kostenlose und kostenpflichtige Dienste, die lediglich IP-Bereiche überwachen.
- Red Teaming als Dienstleistung: Unternehmen, die diese Methode anwenden, können qualitativ hochwertige Ergebnisse mit geringen Fehlalarmen erzielen, übersehen aber in der Regel zusätzliche Elemente und sind langsamer bei der Identifizierung riskanter Vermögenswerte.
- Open-Source-Red-Teaming: Nutzen Sie die Bug-Bounty-Gemeinschaft, um Informationen über Assets einzuholen. Die Qualität dieser Informationen kann jedoch stark variieren, da sie von den Fähigkeiten des freiberuflichen Mitarbeiters abhängen und eine Menge manueller Pflege erfordern.
- Integrierte und benutzerdefinierte automatisierte Attribution: Unternehmen, die automatisierte Attribution nutzen, verlassen sich auf die Automatisierung der ersten beiden Kategorien durch Software. Darüber hinaus ermöglichen die besten Anbieter für das Management von Angriffsoberflächen den Unternehmen, die Attribution anzupassen, indem sie es den Anwendern ermöglichen, Aspekte ihrer Assets zu spezifizieren, die sie verwenden können, um ihre eigene Infrastruktur zu finden und sie in ihre Angriffsoberfläche einzubeziehen. Censys ist auf die automatisierte integrierte und benutzerdefinierte Attribution spezialisiert und rühmt sich mit der niedrigsten False-Positive-Rate, basierend auf Kundenfeedback.
Die Macht der Suche zwingt Sie
Mit der Erweiterung des Censys Search Python-Clients um den Befehl add-seeds können Sie jetzt ein einfaches Skript schreiben, um benutzerdefinierte Attributions-Pivots zu haben und mehr Assets zu finden, die Ihnen gehören, basierend auf einzigartigen Facetten, die sie durch unsere Rich-Search-Plattform offenlegen.
Nehmen wir an, Ihr Unternehmen hat einen Namensstandard für alle Hosts, auf denen Windows läuft. Nämlich, dass jeder Windows-Host mit dem Begriff "FOOCORP" beginnen muss. Mit Censys Search können Sie eine Suchabfrage schreiben, die jeden Host mit einem RDP-Zertifikat (das mit dem NETBIOS-Namen übereinstimmt) identifiziert, um diese Geräte zu finden, und sie dann in den Censys CLI-Befehl asm add-seeds einspeisen, um sie automatisch zu Ihrer Angriffsfläche hinzuzufügen:
censys search 'same_service(services.service_name: RDP AND services.tls.certificates.leaf_data.subject_dn: FOOCRP)' | jq -r '[.[].ip]' | censys asm add-seeds -i -
Mit dieser Methode können Sie benutzerdefinierte Pivots mit jeder beliebigen leistungsstarken Suchsyntax erstellen. Probieren Sie die Suche noch heute aus, um Ihre eigenen Assets zu finden und sie Ihrem ASM-Konto hinzuzufügen.
Um sicherzustellen, dass Ihre Angriffsfläche mit diesen Ergebnissen auf dem neuesten Stand gehalten wird, können Sie die Ausführung des Befehls mit cron oder einem anderen Scheduler automatisieren.
Die add-seeds-Funktionalität befindet sich in der Beta-Phase, und wir würden uns über Ihr Feedback freuen. Sie können sie jetzt ausprobieren, indem Sie sie über pip installieren (beachten Sie, dass der obige Befehl auch den jq-Befehl verwendet, um IPs zu extrahieren, die in Ihre ASM-Seeds-Liste gepumpt werden):
pip install censys==2.0.5b1
Ressourcen