Vue d'ensemble
Censys a introduit une nouvelle commande CLI add-seeds pour le projet censys-python qui permet aux clients d'automatiser l'ajout de graines à leur surface d'attaque en fonction des termes de recherche de Censys Search. Il s'agit d'un moyen extrêmement puissant de personnaliser votre surface d'attaque.
Il est difficile de trouver des inconnues
La surface d'attaque d'une organisation peut être complexe. Avec des hôtes dispersés dans le monde entier, dans des centres de données, des bureaux, des fournisseurs de services en nuage ou des réseaux domestiques d'employés, trouver un moyen de contrôler les actifs non gérés est une bataille sans fin pour les équipes de sécurité. Par exemple, un employé pourrait exposer accidentellement RDP sur son ordinateur portable Windows d'entreprise sur l'internet public à partir de son adresse IP personnelle. Il est important pour les organisations de comprendre et de gérer ces expositions, même lorsqu'elles ne se trouvent pas officiellement dans leurs propres réseaux "sanctionnés". Sur Censys, nous appelons attribution le processus de découverte de tous les hôtes connus et inconnus d'un client.
Sur le marché de la gestion de la surface d'attaque, l'attribution peut se faire de plusieurs manières :
- Pas du tout: Il suffit de dire que certains fournisseurs vous permettent simplement d'entrer des plages d'adresses IP connues et ne détectent pas du tout ce que vous ne connaissez pas, comme des hôtes malhonnêtes avec des certificats, des domaines ou des adresses IP. Les sociétés de gestion des vulnérabilités entrent dans cette catégorie. Il en va de même pour les services gratuits et payants qui se contentent de surveiller les plages d'adresses IP.
- Red teaming en tant que service: Les entreprises qui utilisent cette méthode peuvent obtenir des résultats de haute qualité avec peu de faux positifs, mais elles manqueront généralement d'autres éléments et seront plus lentes à identifier les actifs à risque.
- Équipe rouge à source ouverte: Utiliser la communauté des bogues pour obtenir des informations sur les actifs. Cependant, la qualité de ces informations peut varier considérablement, car elle dépend du niveau de compétence du contributeur freelance et nécessite une tonne de toilettage manuel.
- Attribution automatisée intégrée et personnalisée: Les entreprises qui utilisent l'attribution automatisée s'appuient sur l'automatisation des deux premières catégories par le biais d'un logiciel. En outre, les meilleurs fournisseurs de gestion de la surface d'attaque permettront aux entreprises de personnaliser l'attribution en permettant aux praticiens de spécifier les facettes de leurs actifs qu'ils peuvent utiliser pour trouver leur propre infrastructure et l'intégrer à leur surface d'attaque. Censys est spécialisé dans l'attribution automatisée intégrée et personnalisée, et se targue d'avoir le taux de faux positifs le plus bas d'après les commentaires de ses clients.
Le pouvoir de la recherche vous oblige
Avec l'ajout de la commande add-seeds au client python Censys Search, vous pouvez désormais écrire un simple script pour avoir des pivots d'attribution personnalisés et trouver plus d'actifs qui vous appartiennent sur la base des facettes uniques qu'ils exposent à travers notre plateforme de recherche enrichie.
Supposons que votre organisation applique une norme de dénomination pour tous les hôtes qui exécutent Windows. Chaque hôte Windows doit commencer par le terme "FOOCORP". En utilisant Censys Search, vous pouvez écrire une requête de recherche qui identifie tout hôte ayant un certificat RDP (qui correspondra au nom NETBIOS) pour découvrir ces périphériques, puis les acheminer dans la commande asm add-seeds de l'interface CLI de Censys pour les ajouter automatiquement à votre surface d'attaque :
censys search 'same_service(services.service_name: RDP AND services.tls.certificates.leaf_data.subject_dn: FOOCRP)' | jq -r '[.[].ip]' | censys asm add-seeds -i -
Vous pouvez créer des pivots personnalisés à l'aide de cette méthode en utilisant la syntaxe de recherche puissante que vous souhaitez. Essayez d'utiliser la recherche pour trouver vos propres actifs aujourd'hui et ajoutez-les à votre compte ASM.
Pour vous assurer que votre surface d'attaque est maintenue à jour avec ces résultats, il suffit d'automatiser l'exécution de la commande à l'aide de cron ou d'un autre planificateur.
La fonctionnalité add-seeds est en beta, et nous aimerions avoir vos retours. Vous pouvez l'essayer dès maintenant en l'installant via pip (notez que la commande ci-dessus utilise également la commande jq pour extraire les IP qui sont pompées dans votre liste de graines ASM) :
pip install censys==2.0.5b1
Ressources