Introducción
Censys ha publicado recientemente el nuevo conjunto de datos Universal Internet DataSet. Una de las ventajas más importantes de este conjunto de datos es la detección automática de protocolos. Gracias a esta función, Censys proporciona ahora datos más detallados sobre los servicios que se ejecutan en puertos no estándar. Dado que el 66% de los servicios que detectamos se ejecutan en puertos no estándar, es cada vez más importante que los cazadores de amenazas y los equipos de seguridad comprendan por qué debemos buscar en puertos no estándar, así como la forma de utilizar nuestra Censys ASM Platform o Censys Enterprise Data para obtener la mejor visibilidad de los servicios que se ejecutan en ellos.
Conceptos básicos de puertos y protocolos
La funcionalidad de Internet se debe en gran parte a los puertos. Un puerto es un punto final relacionado con un software o servicio que permite transmitir datos desde tu ordenador a Internet o incluso a otro ordenador de una red. Hay 65.535 en total y en estos puertos se ejecutan distintos protocolos, o un conjunto de reglas, que determinan los datos específicos que se van a transmitir. Aunque cualquier protocolo puede ejecutarse en cualquier puerto, por suerte existe cierta estandarización para los emparejamientos más comunes para simplificar las cosas a todo el mundo. Por ejemplo, SSH se encuentra normalmente en el puerto 22 y HTTPS en el 443, etc. (la lista completa se puede ver aquí). Aunque esta es la implementación más común, hay algunos casos en los que se producen emparejamientos de puerto/protocolo no estándar y pueden crear problemas de seguridad si no tienes visibilidad de lo que se está ejecutando en tu entorno.
¿Por qué se utilizan puertos no estándar?
Seguridad a través de la oscuridad
A lo largo de los años, la ciberseguridad ha cambiado y evolucionado a diario tanto para los actores maliciosos como para aquellos a los que intentan afectar. Un suministro interminable de nuevas exposiciones de software, ataques de phishing más sofisticados y todo lo demás ha hecho que el papel de defender la superficie de ataque digital de una empresa sea poco menos que un esfuerzo heroico. Un enfoque que se utiliza con demasiada frecuencia es la idea de "seguridad a través de la oscuridad", aplicada en este caso mediante el uso de puertos no estándar para ejecutar servicios en un intento de hacer que sus propios puntos de entrada sean menos obvios. Desde el punto de vista de un atacante, esto podría hacer que fuera más difícil de encontrar, ya que esperas que una determinada cosa esté en un determinado lugar. Así que esta estrategia tiene cierto mérito, pero es ampliamente aceptado que hay que hacer más para asegurar realmente los entornos. No obstante, es una estrategia que algunos emplean.
Comunicación adversarial
Dado que hay más de 64.000 puertos entre los que elegir, es comprensible que esconderse detrás de un puerto no estándar sea en realidad una forma eficaz de infiltrarse y comprometer la seguridad de un entorno. Obviamente, los puertos estándar y sus respectivos protocolos acapararán la mayor atención, y con razón, pero ¿qué pasa con el resto? Esto supone un gran problema para muchas de las herramientas que existen en la actualidad. Buscan donde esperan que haya problemas, pero no necesariamente donde el adversario intentará ocultar su comunicación. Ser capaz de buscar problemas potenciales en todo el entorno es esencial para proteger la superficie de ataque.
Desconfiguraciones
Aunque pongamos los puntos sobre las íes, sigue habiendo problemas a la vuelta de la esquina si tenemos en cuenta todo el software diferente que se ejecuta en un entorno determinado. Un ejemplo es una vieja configuración errónea de rpcbind que inadvertidamente haría que el programa escuchara en un puerto oscuro, no estándar (por encima de 32770) en lugar del puerto estándar 111. No hace falta decir que una exposición inesperada como esta podría tardar días, semanas o meses en descubrirse, con el potencial de causar un daño significativo a su organización. Imagina que hubiera ventanas y puertas abiertas por toda tu casa de las que no fueras consciente, ¡caramba!
Detección automática de protocolos con Censys ASM
Censys ha lanzado recientemente una actualización de nuestra canalización de escaneo que ahora le permitirá detectar todos los escenarios anteriores mediante la detección automática de protocolos. Si volvemos al principio y pensamos en los emparejamientos estándar de puerto/protocolo, se dibuja una imagen bastante clara de cómo funcionan hoy en día la mayoría de los motores de escaneado.
Sabemos que SSH se ejecuta en el puerto 22, por lo que el motor escanea el puerto 22 para SSH. Sin embargo, como ahora sabemos, este no es siempre el caso. En lugar de buscar un protocolo específico en el puerto estándar, Censys busca 17 protocolos diferentes en cada uno de los más de 2000 puertos que se escanean semanalmente. Esto no sólo le permite encontrar a los actores maliciosos que utilizan intencionadamente puertos no estándar, sino que le proporciona un descubrimiento y una supervisión más precisos de su propia infraestructura para que pueda corregir rápidamente los errores de configuración que se produzcan.
Todos los entornos tecnológicos son cada día más complejos y la gestión de su sistema es un reto, independientemente del tamaño de su equipo. La plataforma ASM Censys permite a los equipos tener la mejor visibilidad de lo que hay que proteger y dónde reside.
Para obtener más información sobre la plataforma de gestión de la superficie de ataque de Censys, visite nuestro sitio web o solicite una demostración hoy mismo.
