La ciberseguridad exige a menudo una perspectiva de futuro. Adelantarse a las amenazas significa que los equipos de seguridad tienen que pensar de forma proactiva: anticiparse a las nuevas amenazas, predecir cómo podrían cambiar las tácticas de los adversarios en los próximos meses y pensar en cómo prevenir nuevas exposiciones en la superficie de ataque.
Sin embargo, mirar hacia atrás en el tiempo, para comprender y evaluar cómo se desarrolló la actividad pasada, es una parte fundamental de esta mentalidad proactiva. Analizando el pasado, los equipos de seguridad pueden anticiparse y prepararse mejor para lo que pueda ocurrir en el futuro. Por eso, en este blog, exploraremos por qué tener acceso a la inteligencia histórica de Internet es una adición invaluable al conjunto de herramientas de cualquier equipo de seguridad, y discutiremos cómo puede obtener esa perspectiva histórica con Censys.
¿Por qué son tan útiles los datos históricos?
Podrá identificar patrones y rastrear la infraestructura de los atacantes.
La inteligencia histórica sobre amenazas permite a los cazadores de amenazas identificar patrones de amenazas y rastrear la infraestructura de los atacantes a lo largo del tiempo. Los autores de las amenazas suelen reutilizar la infraestructura, como direcciones IP, dominios y certificados SSL, en varias campañas. Al analizar los datos históricos, los cazadores de amenazas pueden descubrir estos patrones, lo que facilita la predicción y anticipación de futuros ataques.
Puedes construir una cronología de los acontecimientos.
Una de las principales ventajas de la información histórica sobre amenazas es la posibilidad de elaborar una cronología de los acontecimientos. Comprender la secuencia de acontecimientos que condujeron a un incidente de seguridad es crucial para la elaboración de informes y la corrección eficaces. También suele ser una parte necesaria de una respuesta adecuada a los incidentes, especialmente cuando los datos de los clientes se han visto comprometidos o cuando se trabaja en sectores muy regulados. Una cronología completa ayuda a identificar el punto inicial de compromiso, los métodos utilizados por el atacante y el alcance de los daños.
Puedes obtener el contexto necesario.
El contexto es fundamental cuando se intenta determinar si una actividad es maliciosa o benigna. La información histórica sobre amenazas puede proporcionar el contexto necesario para comprender la importancia de los acontecimientos actuales. Por ejemplo, un aumento del tráfico de red procedente de una dirección IP concreta puede parecer benigno a primera vista. Sin embargo, si los datos históricos revelan que esta dirección IP ha estado asociada a actividades maliciosas en el pasado, el nivel de amenaza aumenta significativamente.
Puede facilitar la atribución de amenazas.
Atribuir los ciberataques a actores de amenazas específicos es un aspecto complejo pero esencial de la caza de amenazas. La inteligencia histórica sobre amenazas desempeña un papel importante en este proceso, ya que proporciona una gran cantidad de datos que pueden utilizarse para vincular diferentes ataques al mismo actor o grupo. Esto es especialmente valioso cuando se trata de amenazas persistentes avanzadas (APT), que se caracterizan por su sigilo y persistencia. Los datos históricos pueden incluso proporcionar a los organismos encargados de hacer cumplir la ley las pruebas creíbles que necesitan para responsabilizar a los actores de las amenazas y mitigar su impacto en objetivos futuros.
Puede analizar las tendencias históricas.
Si estás interesado en observar las tendencias generales de Internet (un objetivo importante para los investigadores de seguridad), la capacidad de retroceder en el tiempo es imprescindible. Una visión histórica puede arrojar luz sobre cómo han cambiado las tácticas de los atacantes, cómo ciertos tipos de host han sido o no cada vez más el objetivo de los ataques, cómo está cambiando la actividad de las amenazas dentro de industrias específicas a lo largo del tiempo, cómo una campaña específica de ransomware ha afectado a las organizaciones en el transcurso de varios meses... la lista puede continuar.
Perspectiva histórica con Censys
Censys proporciona acceso a este tipo de valiosos datos históricos. En cada página de host en Censys Search, puede encontrar un icono de "Historial" en la parte superior que proporciona una cronología inversa de eventos relacionados con la actividad del host. Esto puede incluir información sobre cómo aparecieron y desaparecieron los servicios en el host, cómo se presentaron los nuevos certificados o cómo cambió la ubicación - detalles que son particularmente útiles cuando se mira el historial de un host comprometido o sospechoso.
En esta vista también puedes comparar diferentes puntos en la cronología de eventos de un host, lo que puede ser particularmente útil cuando quieres entender si un host cambió entre dos puntos en el tiempo y cómo lo hizo.
La antigüedad de esta línea de tiempo varía en función del paquete de búsqueda deCensys . Todos los usuarios disponen de al menos una semana de datos históricos, mientras que otros paquetes ofrecen hasta dos años de datos históricos.
Un ejemplo de cómo los datos históricos pueden facilitar las observaciones sobre los anfitriones a lo largo del tiempo.
Aparte de esta vista histórica específica del host, si desea realizar una búsqueda histórica para responder a una pregunta como "¿Hubo un pico en el número de hosts activos que mostraban determinadas características en un día concreto del pasado?", puede aprovechar la potencia de BigQuery de Google. Censys Los datos históricos pueden extraerse ejecutando consultas SQL a través de la interfaz BigQuery de Google. Quienes dispongan de paquetes avanzados de búsqueda en Censys y descarguen o accedan a instantáneas diarias en BigQuery podrán buscar en Internet tal y como se observó en Censys en un momento histórico.
Puede consultar nuestro "artículo del blog "Where the Weird Things Are para ver un ejemplo más detallado de cómo realizar una búsqueda histórica en los datos de Censys en BigQuery.
Datos históricos en la práctica
El equipo de investigación de Censys aprovechó los datos históricos para facilitar una investigación sobre infraestructura Vulkan del NTC, relacionada con herramientas cibernéticas ofensivas. El equipo utilizó análisis históricos para identificar un servidor GitLab que el grupo NTC Vulkan podría haber estado utilizando anteriormente para desarrollar herramientas para una unidad cibernética del servicio de inteligencia militar de Rusia. Investigar el historial de los hosts de NTC Vulkan ayudó al equipo a conocer mejor las funciones básicas de estos hosts sospechosos y de la propia organización en su conjunto.
Los datos históricos también fueron fundamentales en la investigación del equipo sobre el ransomware ruso, ya que le permitieron analizar un kit de malware sospechoso en un momento anterior. Al hacerlo, pudieron observar la presencia de un certificado C2 anterior, así como un dominio que el equipo confirmó que estaba asociado a un grupo adversario conocido. A través de este análisis histórico, el equipo determinó que el host en cuestión podría estar implicado de forma creíble como parte de una red C2 de ransomware.
Con la historia de ayer, el mañana no tiene por qué ser un misterio
No subestime el poder de los datos históricos. Con el acceso a los datos históricos, puede identificar más fácilmente patrones, rastrear la infraestructura del atacante, construir líneas de tiempo completas, mejorar la conciencia contextual y facilitar la atribución de amenazas. Las organizaciones pueden utilizar este punto de vista histórico para planificar el futuro, obteniendo la información que necesitan para adelantarse a los adversarios y reforzar sus defensas.
Compruebe usted mismo nuestros datos históricos. Visite Censys Search para crear una cuenta y empezar.