La cybersécurité exige souvent une perspective d'avenir. Pour garder une longueur d'avance sur les menaces, les équipes de sécurité doivent penser de manière proactive - anticiper les nouvelles menaces, prévoir comment les tactiques des adversaires pourraient changer dans les mois à venir, et réfléchir à la manière de prévenir de nouvelles expositions sur la surface d'attaque.
Cependant, le retour en arrière, pour comprendre et évaluer comment les activités passées se sont déroulées, est un élément essentiel de cet état d'esprit proactif. En analysant le passé, les équipes de sécurité peuvent mieux anticiper et se préparer à ce qui pourrait se produire à l'avenir. C'est pourquoi, dans ce blog, nous allons explorer les raisons pour lesquelles l'accès à des renseignements historiques sur Internet est un ajout inestimable à la boîte à outils de toute équipe de sécurité, et discuter de la façon dont vous pouvez obtenir cette perspective historique avec Censys.
Pourquoi les données historiques sont-elles si utiles ?
Vous êtes en mesure d'identifier des modèles et de suivre l'infrastructure des attaquants.
Les renseignements historiques sur les menaces permettent aux chasseurs de menaces d'identifier des modèles de menaces et de suivre l'infrastructure des attaquants au fil du temps. Les acteurs de la menace réutilisent souvent l'infrastructure, comme les adresses IP, les domaines et les certificats SSL, dans le cadre de plusieurs campagnes. En analysant les données historiques, les chasseurs de menaces peuvent découvrir ces schémas, ce qui facilite la prévision et l'anticipation des attaques futures.
Vous pouvez établir une chronologie des événements.
L'un des principaux avantages de la veille historique sur les menaces est la possibilité d'établir une chronologie des événements. Il est essentiel de comprendre la séquence des événements qui ont conduit à un incident de sécurité pour pouvoir établir des rapports et prendre des mesures correctives efficaces. C'est aussi souvent un élément nécessaire à une bonne réponse à l'incident, en particulier lorsque les données des clients ont été compromises ou lorsque l'on travaille dans des secteurs hautement réglementés. Une chronologie complète permet d'identifier le point initial de compromission, les méthodes utilisées par l'attaquant et l'étendue des dommages.
Vous pouvez obtenir le contexte nécessaire.
Le contexte est essentiel lorsqu'il s'agit de déterminer si une activité est malveillante ou bénigne. Les informations historiques sur les menaces peuvent fournir le contexte nécessaire pour comprendre l'importance des événements actuels. Par exemple, une augmentation du trafic réseau en provenance d'une adresse IP particulière peut sembler bénigne à première vue. Toutefois, si les données historiques révèlent que cette adresse IP a été associée à des activités malveillantes dans le passé, le niveau de menace augmente considérablement.
Vous pouvez faciliter l'attribution des menaces.
L'attribution des cyberattaques à des acteurs spécifiques est un aspect complexe mais essentiel de la chasse aux menaces. Les renseignements historiques sur les menaces jouent un rôle important dans ce processus en fournissant une mine de données qui peuvent être utilisées pour relier différentes attaques au même acteur ou groupe. Cela est particulièrement utile dans le cas des menaces persistantes avancées (APT), qui se caractérisent par leur furtivité et leur persistance. Les données historiques peuvent même fournir aux forces de l'ordre les preuves crédibles dont elles ont besoin pour responsabiliser les acteurs de la menace et atténuer leur impact sur de futures cibles.
Vous pouvez analyser les tendances historiques.
Si vous souhaitez observer les grandes tendances sur Internet (un objectif pertinent pour les chercheurs en sécurité), il est impératif de pouvoir remonter dans le temps. Une vue historique permet de comprendre comment les tactiques des attaquants ont changé, comment certains types d'hôtes ont été ou non de plus en plus ciblés par les attaques, comment l'activité des menaces évolue dans des secteurs spécifiques au fil du temps, comment une campagne de ransomware spécifique a affecté les organisations au cours de plusieurs mois... et la liste est encore longue.
Une perspective historique avec Censys
Censys permet d'accéder à ce type de données historiques précieuses. Sur chaque page d'hôte dans Censys Search, vous pouvez trouver une icône "Historique" en haut qui fournit une chronologie inversée des événements liés à l'activité de l'hôte. chronologie inversée des événements liés à l'activité de l'hôte. Il peut s'agir d'informations sur l'apparition et la disparition de services sur l'hôte, sur la présentation de nouveaux certificats ou sur le changement d'emplacement - des détails particulièrement utiles à glaner lors de l'examen de l'historique d'un hôte compromis ou suspect.
Dans cette vue, vous pouvez également comparer différents points dans la chronologie des événements d'un hôte, ce qui peut être particulièrement utile lorsque vous souhaitez comprendre si et comment un hôte a changé entre deux points dans le temps.
L'ancienneté de cette chronologie varie en fonction de votre forfaitCensys Search. Tous les utilisateurs disposent d'au moins une semaine de données historiques, tandis que d'autres forfaits offrent jusqu'à deux ans de données historiques.
Exemple de la manière dont les données historiques peuvent faciliter les observations sur les hôtes au fil du temps.
En dehors de cette vue historique spécifique à l'hôte, si vous souhaitez effectuer une recherche historique pour répondre à une question telle que "Y a-t-il eu un pic dans le nombre d'hôtes actifs affichant certaines caractéristiques un jour donné dans le passé", vous pouvez exploiter la puissance de BigQuery de Google. Censys Les données historiques peuvent être extraites en exécutant des requêtes SQL via l'interface BigQuery de Google. Les personnes disposant de packages avancés de recherche Censys qui téléchargent ou accèdent à des instantanés quotidiens dans BigQuery peuvent effectuer des recherches sur l'internet tel qu'il a été observé par Censys à un moment donné de l'histoire.
Vous pouvez consulter notre article de blog "Where the Weird Things Are" (Où sont les choses bizarres) pour un exemple plus détaillé sur la façon d'effectuer une recherche historique sur les données Censys dans BigQuery.
Les données historiques en pratique
L'équipe de recherche Censys a exploité des données historiques pour faciliter une enquête sur l'infrastructure Vulkan du NTC, impliquant des cyber-outils offensifs. L'équipe a utilisé l'analyse historique pour identifier un serveur GitLab que le groupe NTC Vulkan pourrait avoir utilisé auparavant pour développer des outils pour une cyber-unité du service de renseignement militaire russe. L'étude de l'historique des hôtes du NTC Vulkan a permis à l'équipe d'en savoir plus sur les fonctions essentielles de ces hôtes suspects et sur l'organisation elle-même.
Les données historiques ont également joué un rôle essentiel dans l'enquête de l'équipe sur les ransomwares russes, car elles lui ont permis d'analyser un kit de logiciels malveillants présumés à un moment antérieur. Ce faisant, elle a pu observer la présence d'un certificat C2 antérieur, ainsi que d'un domaine dont l'équipe a ensuite confirmé qu'il était associé à un groupe d'adversaires connu. Grâce à cette analyse historique, l'équipe a estimé que l'hôte en question pouvait être impliqué de manière crédible dans un réseau C2 de ransomware.
Avec l'histoire d'hier, demain ne doit pas être un mystère
Ne sous-estimez pas le pouvoir des données historiques ! L'accès aux données historiques permet d'identifier plus facilement des modèles, de suivre l'infrastructure des attaquants, d'établir des calendriers complets, d'améliorer la connaissance du contexte et de faciliter l'attribution des menaces. Les organisations peuvent utiliser ce point de vue historique pour planifier l'avenir, en obtenant les informations dont elles ont besoin pour garder une longueur d'avance sur les adversaires et renforcer leurs défenses.
Consultez nos données historiques par vous-même ! Visitez Censys Search pour créer un compte et commencer.
