Einführung
Censys hat kürzlich den neuen Universal Internet DataSet veröffentlicht. Einer der wichtigsten Vorteile dieses Datensatzes ist die automatische Protokollerkennung. Durch diese Funktion bietet Censys nun detailliertere Daten über Dienste, die auf nicht standardisierten Ports laufen. Da 66 % der von uns entdeckten Dienste auf Nicht-Standard-Ports laufen, wird es für Bedrohungsjäger und Sicherheitsteams immer wichtiger zu verstehen, warum wir nach Nicht-Standard-Ports suchen sollten und wie wir unsere Censys ASM Platform oder Censys Enterprise Data nutzen können, um den besten Einblick in die auf ihnen laufenden Dienste zu erhalten.
Die Grundlagen von Ports und Protokollen
Die Funktionalität des Internets ist zu einem großen Teil den Ports zu verdanken. Ein Port ist ein software- oder dienstbezogener Endpunkt, der die Übertragung von Daten von Ihrem Computer ins Internet oder sogar zu einem anderen Computer in einem Netzwerk ermöglicht. Es gibt insgesamt 65.535 Ports, und auf diesen verschiedenen Ports laufen verschiedene Protokolle oder eine Reihe von Regeln, die die zu übertragenden Daten bestimmen. Obwohl jedes Protokoll an jedem Port ausgeführt werden kann, gibt es glücklicherweise eine gewisse Standardisierung für die gängigsten Paarungen, um die Dinge für jeden einfach zu machen. SSH wird zum Beispiel in der Regel über Port 22 und HTTPS über 443 usw. ausgeführt (eine vollständige Liste finden Sie hier). Obwohl dies die gängigste Implementierung ist, gibt es einige Fälle, in denen nicht standardisierte Port/Protokoll-Paarungen auftreten und zu Sicherheitsproblemen führen können, wenn Sie keinen Überblick darüber haben, was in Ihrer Umgebung ausgeführt wird.
Warum werden nicht standardisierte Ports verwendet?
Sicherheit durch Obskurität
Im Laufe der Jahre hat sich die Cybersicherheit täglich verändert und weiterentwickelt, sowohl für die böswilligen Akteure als auch für diejenigen, die sie anzugreifen versuchen. Ein endloser Vorrat an neuen Software-Schwachstellen, raffinierteren Phishing-Angriffen und allem, was dazwischen liegt, hat die Aufgabe, die digitale Angriffsfläche eines Unternehmens zu verteidigen, zu einer wahren Heldentat werden lassen. Ein allzu oft genutzter Ansatz ist die Idee der "Sicherheit durch Unklarheit", die in diesem Fall durch die Verwendung von nicht standardisierten Ports zur Ausführung von Diensten angewandt wird, um die eigenen Einstiegspunkte weniger offensichtlich zu machen. Aus der Sicht eines Angreifers könnte dies das Auffinden erschweren, da man erwartet, dass sich ein bestimmtes Ding an einem bestimmten Ort befindet. Diese Strategie hat also durchaus ihre Berechtigung, aber es ist allgemein anerkannt, dass mehr getan werden muss, um Ihre Umgebungen wirklich zu sichern. Nichtsdestotrotz ist dies eine Strategie, die von einigen angewandt wird.
Gegensätzliche Kommunikation
Da es über 64.000 Ports zur Auswahl gibt, ist es verständlich, dass das Verstecken hinter einem Nicht-Standard-Port ein effektiver Weg ist, die Sicherheit einer Umgebung zu infiltrieren und zu gefährden. Den Standard-Ports und ihren jeweiligen Protokollen wird natürlich die meiste Aufmerksamkeit zuteil, und das zu Recht, aber was ist mit dem Rest? Dies stellt ein großes Problem für viele der heute erhältlichen Tools dar. Sie suchen dort, wo sie Probleme erwarten, aber nicht unbedingt dort, wo der Angreifer versucht, seine Kommunikation zu verschleiern. Die Fähigkeit, in einer gesamten Umgebung nach potenziellen Problemen zu suchen, ist für die Sicherung Ihrer Angriffsfläche von entscheidender Bedeutung.
Fehlkonfigurationen
Selbst wenn wir alles richtig machen, gibt es immer noch an jeder Ecke Probleme, wenn man all die verschiedenen Programme betrachtet, die in einer bestimmten Umgebung laufen. Ein Beispiel ist eine alte rpcbind-Fehlkonfiguration, die das Programm versehentlich dazu veranlasst, an einem obskuren, nicht standardisierten Port (über 32770) zu lauschen, anstatt am Standardport 111. Es erübrigt sich zu erwähnen, dass es Tage, Wochen oder Monate dauern kann, bis eine unerwartete Schwachstelle wie diese entdeckt wird, die Ihrem Unternehmen erheblichen Schaden zufügen kann. Stellen Sie sich vor, überall in Ihrem Haus wären Fenster und Türen unverschlossen, ohne dass Sie davon wüssten - bäh!
Automatische Protokoll-Erkennung mit Censys ASM
Censys hat kürzlich ein Update für unsere Scan-Pipeline veröffentlicht, mit dem Sie nun alle oben genannten Szenarien mithilfe der automatischen Protokollerkennung erkennen können. Wenn wir zu den Anfängen zurückgehen und über die Standard-Port/Protokoll-Paarungen nachdenken, ergibt sich ein ziemlich klares Bild davon, wie die meisten Scan-Engines heute arbeiten.
Wir wissen, dass SSH auf Port 22 läuft, also scannt die Engine Port 22 nach SSH. Wie wir jetzt wissen, ist dies jedoch nicht immer der Fall. Anstatt nach einem bestimmten Protokoll an einem Standard-Port zu suchen, sucht Censys nach 17 verschiedenen Protokollen an jedem der über 2000 Ports, die wöchentlich gescannt werden. Auf diese Weise können Sie nicht nur böswillige Akteure finden, die absichtlich nicht standardisierte Ports verwenden, sondern auch Ihre eigene Infrastruktur genauer erkennen und überwachen, so dass Sie bei Fehlkonfigurationen schnell Abhilfe schaffen können.
Jede Technologieumgebung wird von Tag zu Tag komplexer und die Verwaltung Ihres Systems ist eine Herausforderung, unabhängig von der Größe Ihres Teams. Die Censys ASM-Plattform ermöglicht es Teams, den besten Überblick darüber zu haben, was geschützt werden muss und wo es sich befindet.
Wenn Sie mehr über die Attack Surface Management Platform von Censyserfahren möchten, besuchen Sie unsere Website oder fordern Sie noch heute eine Demo an.