2024 est déjà bien entamée, ce qui signifie que votre équipe de sécurité est probablement déjà à pied d'œuvre pour atteindre ses objectifs pour le premier trimestre, ou pour l'année dans son ensemble.
Alors que votre équipe s'attaque à ces objectifs et réfléchit à d'autres moyens d'améliorer ses opérations cette année, il y a peut-être un domaine d'amélioration (important) que vous avez négligé : votre intelligence Internet. En d'autres termes, les données d'analyse de l'internet que les équipes de sécurité utilisent pour alimenter leurs plates-formes de gestion de l'exposition, rechercher les menaces, détecter les vulnérabilités, etc.
Le renseignement sur l'internet est important parce qu'il constitue le fondement de toute stratégie de cybersécurité, que les équipes l'envisagent en ces termes ou non. Les décisions dépendent de la disponibilité et de l'exactitude des renseignements sur l'internet, et ce sont ces données qui alimentent également de nombreux outils essentiels de la pile technologique de sécurité.
Le renseignement sur l'internet mérite également d'être pris en considération, car il s'avère qu'il existe encore de nombreuses sources de données internet de qualité médiocre. Et votre équipe utilise peut-être l'une d'entre elles. En s'appuyant sur des données de qualité inférieure, votre équipe risque de prendre des décisions basées sur des faux positifs, de passer plus de temps à rechercher des données incomplètes, de négliger des vulnérabilités importantes... et la liste est encore longue.
Vous ne savez pas si l'intelligence Internet de votre équipe peut être améliorée ? Examinez les 24 questions suivantes.
24 questions à poser sur vos données
1) Combien de sources de données internet mon équipe utilise-t-elle ?
Le traitement de sources de données multiples peut créer une vue disparate et fragmentée du paysage des menaces qui peut être difficile à comprendre et à mettre en œuvre.
2. Combien de temps est-ce que je passe à essayer de remplir les blancs ?
Les efforts déployés pour tenter de combler les lacunes de vos données méritent d'être examinés. Les données devraient généralement vous fournir suffisamment de contexte pour que vous puissiez prendre la prochaine mesure en connaissance de cause.
3. À quelle fréquence ma source de données scanne-t-elle l'internet ?
Les adversaires sont continuellement à la recherche de failles à exploiter. Les données Internet qui ne fournissent pas une vue actualisée des vulnérabilités et des menaces désavantagent votre équipe.
4. À quelle fréquence les services sont-ils actualisés ?
Recherchez des données qui actualisent tous les services sur une base quotidienne.
5. Mes données indiquent-elles des hôtes IPv4, des hôtes IPv6 ou les deux ?
Les données doivent refléter la couverture des hôtes IPv4 et IPv6 - les adversaires exploitent partout.
6. Les données offrent-elles une perspective d'analyse globale ?
Une couverture complète de l'infrastructure internet est primordiale. Là encore, les adversaires sont partout.
7. Les hôtes virtuels sont-ils analysés ?
Les hôtes virtuels représentent une part importante de notre internet et doivent être pris en compte dans toute source de données.
8. Les ports non standard sont-ils analysés ?
60 % de tous les services fonctionnent sur des ports non standard. Sans analyse intelligente des 65 000 ports et sans visibilité sur ces services, les équipes ne peuvent pas protéger efficacement leurs organisations.
9. Comment se présente mon accès aux certificats ?
Identifiez les certificats expirés et menez des enquêtes plus souples sur les menaces grâce à des données qui incluent l'accès à un référentiel de certificats robuste.
10. Ai-je la possibilité d'effectuer des recherches dans les données ?
Si vos données internet ne sont pas introduites dans un outil existant de votre pile technologique, vous aurez besoin d'un moyen d'analyser les données directement.
11. Est-il difficile pour moi d'effectuer des recherches dans les données ?
Les données doivent être fournies de manière conviviale. L'outil de rechercheCensys permet d'accéder aux données Censys à l'aide de requêtes simples.
12. Le contexte est-il fourni pour m'aider à comprendre les données ?
Le contexte est essentiel, en particulier lorsque le temps est compté. Les données doivent contenir des détails qui facilitent la compréhension de ce qui est présenté.
13. Puis-je voir le type d'hôte ?
Les données comportant des étiquettes de type d'appareil vous permettront d'identifier clairement le type d'hôte, qu'il s'agisse d'un IoT, d'une base de données, d'un VPN, etc.
14. Puis-je consulter des données de géolocalisation ?
Le lieu de résidence d'un hôte peut constituer un élément d'information essentiel dans le cadre d'une enquête.
15. Puis-je apprendre quelque chose sur l'intention de l'hôte ?
Une visibilité détaillée des ports ouverts et des protocoles en cours d'exécution, indépendamment de l'affectation standard des ports, devrait permettre d'en savoir plus sur les intentions de l'hôte.
16. Les données comprennent-elles des détails sur les logiciels ?
La détection des logiciels aide les équipes à identifier les menaces, les risques et les vulnérabilités potentiels.
17. Est-ce que je rencontre fréquemment des faux positifs dans mes données ?
Les faux positifs font perdre du temps, créent une lassitude à l'égard des alertes et peuvent détourner l'attention des menaces réelles. Des données de qualité supérieure réduiront la fréquence des faux positifs.
18. Puis-je utiliser une API pour intégrer les données dans d'autres systèmes ?
La possibilité d'intégrer des données dans d'autres systèmes peut déboucher sur une efficacité considérable.
19. Existe-t-il un moyen de consulter les données d'une période antérieure ?
Les enquêtes sur les menaces peuvent dépendre de la capacité à observer les modifications d'un hôte au fil du temps.
20. Lorsque de nouveaux actifs sont mis en ligne, combien d'entre eux ne sont pas détectés ?
Les équipes doivent connaître tous les nouveaux actifs inconnus associés à leur organisation. Les actifs négligés deviennent des opportunités pour les adversaires.
21. Quelle est la rapidité avec laquelle de nouveaux actifs sont découverts ?
Plus vite les équipes sont informées de l'existence de nouveaux actifs, plus vite vous pouvez les protéger ou les déprécier avant que les attaquants ne passent à l'action. Le délai de découverte est une bonne mesure à laquelle il faut prêter attention.
22. Est-il facile pour moi d'identifier des modèles ou de découvrir des relations dans les données ?
Les chasseurs de menaces doivent être en mesure d'établir des liens entre les points de données - des fonctions telles que les balises, les étiquettes et d'autres filtres dans une source de données peuvent les aider à le faire.
23. Les données me sont-elles utiles en cas de journée zéro ?
Dans le cas d'un jour zéro, le temps est un facteur essentiel. Vos données Internet devraient aider votre équipe à déterminer si elle a été affectée par un jour zéro, et dans quelle mesure.
24. Est-il facile pour mon équipe d'organiser les données ?
Les enquêtes sur les menaces peuvent devenir complexes, et la possibilité de trier, étiqueter et commenter les données peut aider les équipes à rester organisées.
Si vos réponses à ces questions vous font réfléchir, il est peut-être temps d'investir dans une meilleure source de renseignements sur Internet !
Pour voir les données de Censys en action, rendez-vous sur search.censys.io pour lancer des requêtes sur nos données.
Astuce : vous pouvez utiliser notre outil CensysGPT, alimenté par l'IA, pour poser des questions en langage naturel ou traduire des requêtes provenant d'autres langues.
Voir Censys Data en action