Ir al contenido
Próximo seminario web: Libere el poder de la búsqueda en Censys con Em Averton | 27 de junio a las 13:00 ET | Regístrese ahora
Blogs

La investigación GreyNoise revela que los datos de escaneado de Censys son los más rápidos y completos.

 

La empresa de ciberseguridad GreyNoise Intelligence publicó recientemente "A Week In the Life of a GreyNoise Censor: Una visión benigna". Estoy increíblemente entusiasmado con este blog porque cada vez que una organización ajena a la tuya lleva a cabo una investigación que refuerza las afirmaciones que haces a diario, es algo maravilloso. Aún quedan matices por explorar, pero a partir de su investigación y sus asombrosos gráficos visuales, se pueden hacer algunas observaciones clave. Repasemos de arriba abajo cada gráfico con algunas observaciones:

¿Cuánto tardan los escáneres benignos en encontrar nuevos nódulos?

Gráfico GreyNoise: ¿Cuánto tardan los escáneres benignos en encontrar nuevos nódulos?

Fuente de la imagen: GreyNoise

Muchas organizaciones se sitúan en torno a la hora de descubrimiento. Sin embargo, esto tiene muchos matices. Si sólo estás escaneando Internet en busca de puertos comunes como 80/443 que están abiertos, no es tan difícil - el descubrimiento de activos en otras pruebas y eventos de IR de los que he oído hablar son de tan sólo 7 minutos. Tienes que mirar más de cerca el trabajo que se está haciendo para comprender realmente el contexto.

¿Cuántas IP únicas del escáner benigno se han conectado?

 

Gráficos GreyNoise: ¿Cuántas IP únicas de escáner benigno se han conectado?

Fuente de la imagen: GreyNoise

El análisis aquí es el eje Y de los sensores que se conectan y escanean durante un periodo de 8 días. Aquí empezamos a ver un poco más de distribución que en la imagen anterior en términos de concentración, pero empieza a emerger la imagen de que los escáneres de Censys están haciendo mucho más trabajo con muchos menos recursos. Por ejemplo, BitSight e Internet Census están aprovechando 3 veces más hardware (IPs), y el 100% de los escaneos de hardware de Censysestán concentrados en la parte delantera. Hay algunos factores que pueden añadir más contexto a esto, pero no deja de ser un detalle interesante. De nuevo, en el contexto de la potencia que se muestra más adelante...

¿Cuántas alertas diarias generaron los escáneres benignos?

 

Alertas diarias de GreyNoise Heat Map

Fuente de la imagen: GreyNoise

¿A quién le gustan las alertas en el mundo de la seguridad? A nadie. Los profesionales sufren una verdadera fatiga por las alertas constantes. Este mapa de calor en particular está orientado a su caso de uso directo de reducir dicha fatiga de alerta, pero para nuestro bien sirve para ilustrar muy claramente cuánto más difícil, más rápido y con mayor consistencia el escaneoCensys está sondeando las profundidades del mar IPv4.

¿Qué escáneres benignos tienen el volumen más diverso?

Gráfico GreyNoise: ¿Qué escáneres benignos tienen el volumen más diverso?

Fuente de la imagen: GreyNoise

Aquí es donde todo se une para mostrar la magnitud del trabajo que realiza el escáner de Censys . Aquí es donde empezamos a ver la distribución de los puertos específicos que escanea cada servicio y sacamos algunas conclusiones bastante obvias. Es difícil distinguirlo en la escala del eje Y, pero parece que es alrededor de los 15.000 puertos donde la "cola" de los datos del escáner Censys empieza a disminuir en términos de densidad. A la izquierda de esto, vemos que la densidad de escaneado sigue siendo mucho mayor para Censys que para los otros cinco primeros, con algunas variaciones en términos de densidad de escaneado a diferentes niveles. Vemos que los perfiles de Shodan, BitSight e Internet Census son básicamente idénticos, con ReCyber concentrando sus esfuerzos de escaneado en torno a los ~1.200 puertos principales. Sin embargo, la cola de Censys nos lleva a la conclusión.

Conclusiones

Basándonos en el hilo lógico anterior, vemos surgir algunas tendencias clave:

Censys Los datos del escáner son mucho más completos que los de cualquier otro sitio de Internet, ya que cubren el 100% de los 65.000 puertos a lo largo de los ocho días que duró la prueba, con una consistencia mucho mayor, es decir, el grosor de la cola en la cifra final.

Censys hace mucho más con menos. Esto habla directamente del poder de nuestra tecnología subyacente en la que el equipo ha estado trabajando tan duro en los últimos años y que es realmente insuperable".

El último gráfico del artículo de GreyNoise me parece muy interesante. Representa efectivamente el número de escaneos/intentos de conexión que tienen lugar y que no están asociados a ningún escáner benigno conocido. Traducción: Aproximadamente cada 3 minutos, entidades desconocidas y posiblemente maliciosas de Internet realizan sus propios esc aneos en busca de información, en el mejor de los casos, y de oportunidades para llevar a cabo exploits, en el peor.

¿Quiere saber más?

Más información sobre Censys Datos y búsqueda

Sobre el autor

Kevin Garrett autor del artículo
Kevin Garrett
Ingeniero Superior de Soluciones
Kevin apoya los nuevos negocios de ventas a empresas en las regiones de Mountain y West, con especial atención a los clientes de Fortune 500. Con una amplia experiencia en gestión de acceso privilegiado antes de Censys, le apasiona proporcionar visibilidad a las necesidades críticas de las organizaciones empresariales y capacitar a los defensores de la red con la información y las herramientas que necesitan.
Soluciones de gestión de la superficie de ataque
Más información