Das Censys
Glossar für Cybersicherheit

Der Prozess der Identifizierung von Internet-Ressourcen, die Teil einer Angriffsfläche sind. Die Verbindungen zwischen den Anlagen und der Angriffsfläche sollten auf automatisierte Weise ermittelt werden, wobei nur Erkenntnisse mit hoher Zuverlässigkeit berücksichtigt werden, um Fehlalarme zu vermeiden. Die Erkennung von Assets ist eine grundlegende Fähigkeit des Attack Surface Management und sollte so häufig wie möglich durchgeführt werden.

Die Gesamtheit der Internetressourcen, die für die Cybersicherheit eines Unternehmens relevant sind und auf die ein Angreifer zugreifen oder sie kompromittieren kann. Sowohl interne als auch externe Ressourcen bilden eine Angriffsfläche und können sich vor Ort, in der Cloud, bei gemeinsam genutzten Hosting-Anbietern oder in anderen Abhängigkeiten von Dritten befinden. Eine Angriffsfläche umfasst alle Ressourcen, unabhängig davon, ob sie bekannt oder unbekannt sind und ob sie von einem IT-/Sicherheitsteam geschützt werden oder unbewacht bleiben.

Ein proaktiver Ansatz für das Expositionsmanagement, der die kontinuierliche Erkennung, Bestandsaufnahme und Überwachung der bekannten und unbekannten IT-Infrastruktur eines Unternehmens umfasst. Attack Surface Management (ASM) ist ein kontinuierlicher Prozess, der sowohl die Sichtbarkeit von innen nach außen als auch die Sichtbarkeit von außen nach innen auf die Ressourcen umfasst. ASM gibt Sicherheitsprogrammen die Möglichkeit, den Kontext zu verstehen und teamübergreifend zu nutzen, um proaktiv sichere Lösungen zu entwickeln und das Unternehmen zu schützen. External Attack Surface Management (EASM) ist eine Funktion innerhalb des größeren Attack Surface Management-Prozesses, die sich speziell auf die externe Angriffsfläche konzentriert.

Censys Attack Surface Management ist eine erstklassige ASM-Lösung, die es Sicherheitsteams ermöglicht, einen vollständigen Einblick in ihre Angriffsflächen zu erhalten. Die Sicht von außen, d. h. die Perspektive des Angreifers, auf alle Anlagen und Risiken wird täglich, stündlich oder bei Bedarf aktualisiert, sodass Ihr Unternehmen nahezu in Echtzeit Einblicke und Kontext erhält und Sie Ihre Cybersicherheitslage verwalten und kommunizieren können. Ihre externe Angriffsfläche wird ebenfalls auf Risiken hin untersucht, und jedes Risiko wird nach den für Sie wichtigen Aspekten priorisiert.

Eine Methode, bei der während des Port-Scannens jede Serverantwort analysiert wird, um den zugrunde liegenden Dienst zu identifizieren, selbst wenn der Dienst nicht dem Standard für die Portnummer entspricht (z. B. SSH auf Port 1234). Dies trägt der Tatsache Rechnung, dass jeder Dienst auf jedem Port laufen kann. Etwa 60 % aller im Internet beobachteten Dienste laufen auf einem nicht standardisierten Port.

Die Grundlage der Censys Plattform sind unsere Daten. Gegründet von den Machern von zMap, bietet die proprietäre Karte des Internets Censysdie größte Abdeckung, die schnellste Entdeckung und die tiefsten Einblicke, die es gibt. Die Censys Internet Map ist die umfassendste und aktuellste Sammlung der globalen Internet-Infrastruktur, angereichert mit wichtigen Informationen, die Ihre Sicherheits- und Aufklärungsteams unterstützen.

Die Censys Internet Map nach Zahlen:

• 10B Bescheinigungen
• 137 Häfen oben
• 1.440 Cloud-Anschlüsse täglich
• 3.502 Häfen wöchentlich
• >200M IPv4-Hosts
• >80M IPv6-Hosts
• >580M namensbasierte Hosts
• Tägliche Aktualisierungen für alle (>2B) Dienste
• 7 Jahre historische Daten

Die führende Internet Intelligence Platform für Bedrohungsabwehr und Exposure Management, die auf der umfassendsten, genauesten und aktuellsten Karte des Internets basiert. Um sicherzustellen, dass Sicherheitsteams einen Überblick über die Bedrohungslandschaft haben, benötigen sie Zugang zu einem umfassenden und hochgradig kontextualisierten Datensatz für proaktive und reaktive Sicherheitsanalysen im großen Maßstab. Mit der Censys Plattform erhalten Unternehmen die genauesten Daten, die verfügbar sind, so dass die Teams Bedrohungen so nah wie möglich in Echtzeit abwehren können, ohne dass eine Bereitstellung oder Konfiguration erforderlich ist.

Eine Integration mit Cloud-Konten, die für die Erkennung von Schattenwolken, die Überwachung der Belastung und die Bestandsaufnahme von Cloud-Assets verwendet wird. Informationen von allen internetfähigen Assets in einem bestimmten Cloud-Konto (Amazon S3, Azure Blob, Google Cloud Storage, virtuelle Instanzen, Datenbanken usw.) werden kontinuierlich in eine ASM-Plattform eingespeist, idealerweise so häufig wie möglich, um den Asset-Erkennungsprozess zu bereichern und eine vollständige Cloud-Sichtbarkeit zu gewährleisten. Cloud-Konnektoren sind innerhalb der Censys Attack Surface Management-Plattform verfügbar und ermöglichen den Benutzern eine vollständige Cloud-übergreifende Sichtbarkeit.

Software, die zur Steuerung der Server verwendet wird, auf denen sie im Internet erscheinen. Wie jede Software haben sie eindeutig identifizierbare Standardeinstellungen und -konfigurationen. Dies kann Sicherheitsexperten Werkzeuge an die Hand geben, mit denen sie ihre Abwehrmaßnahmen testen können, aber sie können auch für böswillige Aktionen missbraucht werden.

Ein von der Analystenfirma Gartner geprägter Begriff, der sich auf "eine Reihe von Prozessen und Fähigkeiten bezieht, die es Unternehmen ermöglichen, die Zugänglichkeit, Exposition und Ausnutzbarkeit der digitalen und physischen Ressourcen eines Unternehmens kontinuierlich und konsistent zu bewerten". Exposure-Management-Lösungen wie Censys Attack Surface Management, die unbekannte Assets aufdecken und eine Angriffsfläche kontinuierlich überwachen, können Teil einer CTEM-Strategie sein.

Die Anlagen, Systeme und Netzwerke (sowohl physisch als auch virtuell), die für eine funktionierende Wirtschaft und die nationale Sicherheit unerlässlich sind. Kritische Infrastrukturen sind ein attraktives Ziel für Hackergruppen und nationalstaatliche Bedrohungsakteure; der Angriff auf die Kolonialpipeline im Jahr 2021 ist ein Beispiel für einen aktuellen Angriff auf kritische Infrastrukturen. Länder wie die Vereinigten Staaten haben den Schutz kritischer Infrastrukturen vor Cyberangriffen zu einer ihrer wichtigsten Prioritäten gemacht. In ihrer nationalen Cybersicherheitsstrategie für 2023 erklärte die Regierung Biden, dass "die Verteidigung kritischer Infrastrukturen gegen gegnerische Aktivitäten und andere Bedrohungen ein Modell der Cyberverteidigung erfordert, das die verteilte Struktur des Internets nachahmt. Durch die Kombination von organisatorischer Zusammenarbeit und technologiegestützter Konnektivität wird ein vertrauensbasiertes 'Netzwerk von Netzwerken' geschaffen, das Situationsbewusstsein schafft und kollektives Handeln vorantreibt".

Alle potenziellen Eintrittspunkte in ein bestimmtes Objekt, die von außen betrachtet werden können (mit Blick auf das Internet). Schwachstellen an sich bestimmen nicht das Gesamtrisiko für ein Unternehmen, sondern stellen Möglichkeiten dar, die von Angreifern ausgenutzt werden können und überwacht oder angegangen werden sollten.

Eine proaktive Cybersicherheitsstrategie, die darauf abzielt, alle Werte zu identifizieren und zu verwalten, die im Internet der Öffentlichkeit zugänglich sind. Exposure Management hilft Unternehmen, Risiken in ihrer gesamten Angriffsfläche besser zu erkennen, um einen Cyberangriff zu verhindern. Eine Exposure-Management-Strategie kann mit Hilfe von Attack Surface Management-Lösungen durchgeführt werden.

Eine dem Internet zugewandte Einheit, die eine Organisation kontrolliert, um Geschäfte im Internet zu tätigen, einschließlich IP-Adressen, Netzblöcke (CIDRs), autonome Systeme (ASNs), Zertifikate, Domänen und Subdomänen, Websites und Speicherobjekte. Eine Sammlung von externen Assets stellt die externe Angriffsfläche einer Organisation dar.

Die Menge der externen Ressourcen, die für die Cybersicherheitslage eines Unternehmens relevant sind. Die externe Angriffsfläche umfasst sowohl bekannte als auch unbekannte Ressourcen und ist zum Haupteinfallstor für Sicherheitsvorfälle und -verletzungen geworden.

Ein Tool oder Prozess, der kontinuierlich die Exposition bekannter und unbekannter externer Ressourcen aufdeckt, inventarisiert und überwacht. Externes Attack Surface Management ist Teil eines umfassenderen Attack Surface Management-Prozesses oder -Programms und sollte sich vorrangig auf die Sichtbarkeit externer Ressourcen nach außen konzentrieren, da diese für Angreifer am zugänglichsten sind.

Wenn eine Cybersicherheitslösung oder ein Cybersicherheitsteam eine Aktivität auf einer Angriffsfläche fälschlicherweise als Risiko einstuft. Das häufige Auftreten von Fehlalarmen kann dazu führen, dass Sicherheitsteams unnötig Zeit und Ressourcen für die Untersuchung gutartiger Aktivitäten verschwenden, und kann zu "Risikomüdigkeit" führen. Eine Studie von Forrester Research zeigt, dass Censys ASM-Kunden im Durchschnitt 70 % weniger Fehlalarme erleben.

Die Möglichkeit, Details über einen Vermögenswert im Internet, wie z. B. einen Host oder ein Zertifikat, von einem früheren Zeitpunkt abzurufen. Censys Benutzer können die von unserer Internetkarte gesammelten historischen Daten nutzen, um das Verhalten von Internetgeräten im Laufe der Zeit besser zu verstehen und ihre Bedrohungsabwehr Bemühungen zu informieren. Die Benutzer können Änderungen an einem bestimmten Gerät oder einer Gruppe von Geräten an jedem beliebigen Tag innerhalb der letzten zwei Jahre beobachten.

Das Vorhandensein von Sicherheitskonfigurationen und -protokollen, die nicht oder falsch implementiert sind, was zu Lücken in der Sicherheitslage eines Unternehmens führt. Beispiele für Fehlkonfigurationen sind unverschlüsselte Dienste, schwache oder fehlende Sicherheitskontrollen und selbstsignierte Zertifikate. Untersuchungen von Censys haben ergeben, dass Fehlkonfigurationen die am häufigsten beobachtete Art von Risiko im Internet sind und vier der fünf am häufigsten beobachteten Risiken ausmachen.

Ein Befehl, der in ein Internet-Suchwerkzeug eingegeben wird, um Informationen über ein Objekt oder eine Gruppe von Objekten abzurufen. Eine Abfrage oder "Suchanfrage" kann eine breite Palette von Informationen über Assets im Internet zurückgeben, einschließlich Details über den geografischen Standort eines Hosts, Software und Betriebssysteme. Das Forschungsteam von Censys stellt häufig Abfragen zur Verfügung, die die Benutzer ausführen können, um ihre eigenen Untersuchungen über ungewöhnliche Internet-Assets und -Bedrohungen durchzuführen.

Eine Art von Malware-Angriff, bei dem Benutzer durch Verschlüsselung von ihren Systemen ausgesperrt werden, bis eine Geldsumme an den oder die Bedrohungsakteure gezahlt wird, die den Angriff ausführen. Einige Ransomware-Angriffe drohen mit der Preisgabe von Daten, wenn die Opfer nicht innerhalb eines bestimmten Zeitraums zahlen. Ransomware kann über bösartige Anhänge in E-Mails, Softwareanwendungen und Websites sowie über andere Quellen mit eingebettetem Malware-Code verbreitet werden.

Der Prozess der Entschärfung oder Beseitigung einer Schwachstelle oder Bedrohung für das Netzwerk eines Unternehmens. Die Behebung kann erfolgen, bevor eine böswillige Aktivität eine Organisation beeinträchtigt, z. B. bei der ersten Entdeckung eines Phishing-Versuchs, oder sie kann als Reaktion auf die Aktivität erfolgen, um den Schaden zu begrenzen, z. B. nach einer Sicherheitsverletzung.

Auslösen eines Port-Scans eines beliebigen Hosts innerhalb einer Angriffsfläche, um alle bekannten Dienste erneut zu scannen und die Host-Daten mit der aktuellsten Konfiguration aus der Außenperspektive zu aktualisieren. Dies wird häufig als "Vertrauen, aber überprüfen"-Mechanismus als letzter Schritt bei der Beseitigung von Angriffen eingesetzt.

Das Potenzial eines Risikos, negative Auswirkungen auf ein Unternehmen zu haben, wenn es von einem Angreifer ausgenutzt wird oder er darauf reagiert. Der Gesamtschweregrad eines Risikos wird durch eine Kombination aus der Gefährdung selbst und den zugrunde liegenden Daten, dem geschäftlichen Kontext oder der Bedeutung für ein IT-Ökosystem bestimmt. Der Schweregrad eines Risikos kann von Fall zu Fall unterschiedlich sein.

In der Cloud gehostete, dem Internet zugewandte Ressourcen, die sich außerhalb von Umgebungen befinden, die durch das Sicherheitsprogramm eines Unternehmens geschützt sind. Die Schattenwolke ist das Ergebnis von verwalteter und nicht verwalteter Cloud-Einführung innerhalb eines Unternehmens und tritt am häufigsten auf, wenn Teile des Unternehmens außerhalb der IT-Abteilung Cloud-Dienste erstellen und dabei häufig alle formalen IT-Prozesse umgehen.

Dem Internet zugewandte Anlagen, die von einer Organisation nicht einheitlich gewartet, verwaltet und geschützt werden. Shadow IT bietet leicht auszunutzende Angriffsvektoren, da diese Anlagen außerhalb des Anwendungsbereichs von Sicherheitswerkzeugen liegen und daher nur minimal geschützt sind. Häufige Quellen von Shadow IT sind alte Infrastrukturen, neu übernommene Anlagen durch eine Fusion oder Übernahme, nicht IT-verwaltete Anlagen, die von anderen Teilen des Unternehmens erstellt werden, und die Einführung von Cloud-Diensten.

Ein proaktiver Ansatz für die Cybersicherheit, bei dem qualifizierte Analysten Internet-Informationen und andere Cybersicherheits-Tools nutzen, um Risiken, Schwachstellen und andere potenziell bösartige Bedrohungen für das Unternehmen aufzuspüren und zu identifizieren. Bedrohungsabwehr ist eine Form der aufmerksamen Verteidigung, die Unternehmen hilft, Bedrohungsakteuren einen Schritt voraus zu sein. Dabei entwickeln Bedrohungsjäger Hypothesen auf der Grundlage des bekannten Verhaltens von Bedrohungsakteuren und bestätigen oder widerlegen diese Hypothesen durch Untersuchungen.

Eine Cybersicherheitsstrategie, die kontinuierlich Sicherheitsschwachstellen in Systemen identifiziert und bewertet, damit Unternehmen Bedrohungen priorisieren und ihre Ressourcen besser schützen können. Lösungen für das Schwachstellenmanagement beginnen mit dem Scannen, um bekannte Anlagen zu bewerten. Wenn Schwachstellen auf diesen Anlagen entdeckt werden, bewertet eine VM-Lösung die Schwachstellen und setzt Prioritäten. Im Gegensatz zu ASM, das sowohl bekannte als auch unbekannte Anlagen identifiziert, werden bei VM nur die Anlagen betrachtet, die einem Unternehmen bereits bekannt sind. Sicherheitsteams können ihre VM-Bemühungen mit ASM bereichern, indem sie neu entdeckte Anlagen zur laufenden Überwachung und Verwaltung in ihr Inventar aufnehmen.

Alle benannten HTTP(S)-Dienste wie Websites, elasticsearch-Instanzen, kubernetes-Cluster und prometheus-Endpunkte. Benutzer von Censys Attack Surface Management können unsere Web-Entitäten-Funktion verwenden, um Einblick in ihre Websites und andere namensbasierte HTTP-Inhalte zu erhalten. Diese Assets können entdeckt, überwacht, auf Risiken hin bewertet und triagiert werden, so dass Teams sich besser gegen die Orte schützen können, an denen Angriffe stattfinden. Die Funktion "Web-Entities" wurde so modelliert, dass sie die Cloud-Infrastruktur besser widerspiegelt, die die meisten Teams für die Bereitstellung ihrer Websites und namensbasierten HTTP-Dienste verwenden.

X.509-Zertifikate, auch als SSL-Zertifikate bekannt, tragen zur Risikominderung im Internet bei, indem sie die Verschlüsselung des Webverkehrs ermöglichen und zur Identitätsüberprüfung dienen. Da Zertifikate nützlich sind, um die Identität eines Unternehmens zu überprüfen, können sie hilfreiche Anhaltspunkte bei der Suche nach Bedrohungen und anderen Untersuchungen liefern. Censys verfügt über das größte X.509-Zertifikat-Repository, das Benutzer mit erweiterten, granularen Suchfunktionen durchsuchen können, um schnell die benötigten Informationen abzurufen.

Ein Sicherheitsprinzip oder Architekturrahmen, der auf die IT-Systeme eines Unternehmens angewendet wird. Zero Trust wird zur Sicherung von Infrastrukturen verwendet und erfordert, dass alle Personen, die versuchen, auf diese Infrastruktur zuzugreifen, kontinuierlich authentifiziert und validiert werden. Wie der Name schon sagt, wird bei einem Null-Vertrauensmodell keinem Benutzer, auch nicht innerhalb der Organisation, ohne Überprüfung implizites Vertrauen entgegengebracht. Es gibt drei Prinzipien von Zero Trust, wie sie vom NIST definiert wurden: 1.) Verbesserte Identitätsverwaltung und richtlinienbasierte Kontrollen 2.) Mikro-Segmentierung 3.) Overlay-Netzwerke und Software-definierte Perimeter.