Visión general
Censys ha introducido un nuevo comando CLI add-seeds para el proyecto censys-python que permite a los clientes automatizar la adición de semillas a su superficie de ataque basada en términos de búsqueda de Censys Search. Este es un medio extremadamente potente de personalizar su superficie de ataque.
Encontrar incógnitas es difícil
La superficie de ataque de una organización puede ser compleja. Con hosts dispersos por todo el mundo, en centros de datos, oficinas, proveedores de la nube o redes domésticas de los empleados, encontrar la forma de dirigir cualquier activo no gestionado es una batalla interminable para los equipos de seguridad. Por ejemplo, un empleado podría exponer RDP accidentalmente en su portátil Windows corporativo en la Internet pública desde su dirección IP doméstica. Es importante que las organizaciones comprendan y gestionen estas exposiciones, incluso cuando no se encuentren formalmente en sus propias redes "autorizadas". En Censys, nos referimos al proceso de descubrir todos los hosts conocidos y desconocidos de un cliente como atribución.
En el mercado de la gestión de la superficie de ataque, existen varias formas de realizar la atribución:
- En absoluto: Basta con decir que algunos proveedores simplemente le permiten introducir rangos de IP conocidos, y pasarán por alto completamente cualquier cosa que no conozca, como hosts fraudulentos con certificados, dominios o IP. Las empresas de gestión de vulnerabilidades entran en esta categoría. También lo hacen los servicios gratuitos y de pago que simplemente monitorizan rangos de IP.
- Red teaming como servicio: Las empresas que utilizan este método pueden obtener resultados de alta calidad con pocos falsos positivos, pero generalmente pasarán por alto elementos adicionales y serán más lentas a la hora de identificar activos de riesgo.
- Red teaming de código abierto: Utilizar la comunidad de bug bounty para obtener información sobre activos. Sin embargo, la calidad de esta información puede variar mucho, ya que dependerá del nivel de habilidad del colaborador independiente y requerirá mucho trabajo manual.
- Atribución automatizada integrada y personalizada: Las empresas que utilizan la atribución automatizada se basarán en la automatización de las dos primeras categorías mediante software. Además, los mejores proveedores de gestión de la superficie de ataque permitirán a las empresas personalizar la atribución, permitiendo a los profesionales especificar facetas de sus activos que pueden utilizar para encontrar su propia infraestructura e incluirla en su superficie de ataque. Censys se especializa en la atribución automatizada integrada y personalizada, y ofrece la tasa más baja de falsos positivos según los comentarios de los clientes.
El poder de la búsqueda te obliga
Con la adición del comando add-seeds al cliente python de Censys Search, ahora puede escribir un sencillo script para disponer de pivotes de atribución personalizados y encontrar más activos que le pertenezcan en función de las facetas únicas que exponen a través de nuestra plataforma de búsqueda enriquecida.
Supongamos que su organización sigue una norma de nomenclatura para todos los hosts que ejecutan Windows. A saber, que cada host Windows debe comenzar con el término "FOOCORP". Utilizando Censys Search, puede escribir una consulta de búsqueda que identifique cualquier host que tenga un certificado RDP (que coincidirá con el nombre NETBIOS) para descubrir estos dispositivos y, a continuación, canalizarlos en el comando Censys CLI asm add-seeds para automatizar la adición a su superficie de ataque:
censys search 'same_service(services.service_name: RDP AND services.tls.certificates.leaf_data.subject_dn: FOOCRP)' | jq -r '[.[].ip]' | censys asm add-seeds -i -
Puede crear pivotes personalizados con este método utilizando la potente sintaxis de búsqueda que desee. Pruebe hoy mismo a utilizar la búsqueda para encontrar sus propios activos y añádalos a su cuenta ASM.
Para asegurarse de que su superficie de ataque se mantiene actualizada con estos resultados, simplemente automatice la ejecución del comando utilizando cron u otro programador.
La funcionalidad add-seeds está en beta, y nos encantaría recibir tus comentarios. Puedes probarla ahora instalándola vía pip (nota, el comando anterior también utiliza el comando jq para extraer IPs que son bombeadas a tu lista de semillas ASM):
pip install censys==2.0.5b1
Recursos