Introduction
Censys a récemment publié le nouveau jeu de données Internet universel. L'un des principaux avantages de ce jeu de données est la détection automatique des protocoles. Grâce à cette fonction, Censys fournit désormais des données plus approfondies sur les services fonctionnant sur des ports non standard. Comme 66 % des services que nous détectons fonctionnent sur des ports non standard, il est de plus en plus important pour les chasseurs de menaces et les équipes de sécurité de comprendre pourquoi nous devrions regarder les ports non standard, ainsi que la façon d'utiliser notre Censys ASM Platform ou Censys Enterprise Data pour obtenir la meilleure visibilité sur les services qui s'exécutent sur ces ports.
Les bases des ports et des protocoles
La fonctionnalité de l'internet est en grande partie due aux ports. Un port est un point d'extrémité lié à un logiciel ou à un service qui permet de transmettre des données de votre ordinateur vers l'internet ou même vers un autre ordinateur d'un réseau. Il en existe 65 535 au total et sur ces différents ports s'exécutent différents protocoles, ou un ensemble de règles, qui déterminent les données spécifiques à transmettre. Bien que n'importe quel protocole puisse être exécuté sur n'importe quel port, il existe heureusement une certaine normalisation pour les paires les plus courantes afin de simplifier les choses pour tout le monde. Par exemple, SSH est généralement utilisé sur le port 22 et HTTPS sur le port 443, etc . Bien qu'il s'agisse de l'implémentation la plus courante, il existe des cas où des paires de ports/protocoles non standard se produisent et peuvent créer des problèmes de sécurité si vous manquez de visibilité sur ce qui s'exécute dans votre environnement.
Pourquoi les gens utilisent-ils des ports non standard ?
La sécurité par l'obscurité
Au fil des ans, la cybersécurité a changé et évolué quotidiennement, tant pour les acteurs malveillants que pour ceux qu'ils tentent d'atteindre. L'offre inépuisable de nouvelles vulnérabilités logicielles, d'attaques de phishing plus sophistiquées et de tout ce qui se trouve entre les deux a fait de la défense de la surface d'attaque numérique d'une entreprise un véritable effort héroïque. Une approche trop souvent utilisée est l'idée de la "sécurité par l'obscurité", appliquée dans ce cas en utilisant des ports non standard pour exécuter des services dans le but de rendre ses propres points d'entrée moins évidents. Du point de vue d'un attaquant, cela pourrait rendre les points d'entrée plus difficiles à trouver, car vous vous attendez à ce qu'une certaine chose se trouve à un certain endroit. Cette stratégie a donc un certain mérite, mais il est largement admis qu'il faut aller plus loin pour sécuriser véritablement vos environnements. Il s'agit néanmoins d'une stratégie employée par certains.
Communication contradictoire
Étant donné qu'il existe plus de 64 000 ports au choix, il est compréhensible que se cacher derrière un port non standard soit un moyen efficace d'infiltrer et de compromettre la sécurité d'un environnement. Les ports standard et leurs protocoles respectifs retiennent évidemment l'attention, et à juste titre, mais qu'en est-il des autres ? Cela pose un problème de taille pour de nombreux outils disponibles aujourd'hui. Ils cherchent là où ils s'attendent à trouver des problèmes, mais pas nécessairement là où l'adversaire tente d'obscurcir sa communication. Pour sécuriser votre surface d'attaque, il est essentiel de pouvoir rechercher les problèmes potentiels dans l'ensemble d'un environnement.
Mauvaises configurations
Même si nous mettons toutes les croix sur les T et tous les points sur les I, il y a toujours des problèmes à chaque coin de rue lorsque vous considérez tous les différents logiciels qui tournent dans un environnement donné. Un exemple est une ancienne configuration erronée de rpcbind qui ferait par inadvertance écouter le programme sur un port obscur et non standard (au-dessus de 32770) au lieu du port standard 111. Il va sans dire qu'il faut des jours, des semaines, voire des mois pour découvrir une exposition inattendue de ce type, qui pourrait causer des dommages considérables à votre organisation. Imaginez qu'il y ait des fenêtres et des portes déverrouillées dans toute votre maison sans que vous le sachiez.
Détection automatique de protocole avec Censys ASM
Censys a récemment publié une mise à jour de son pipeline d'analyse qui vous permettra désormais de détecter tous les scénarios ci-dessus à l'aide de la détection automatique de protocole. Si l'on revient au début et que l'on pense aux paires standard port/protocole, on obtient une image assez claire de la façon dont la plupart des moteurs de balayage fonctionnent aujourd'hui.
Nous savons que SSH fonctionne sur le port 22, donc le moteur recherche SSH sur le port 22. Cependant, comme nous le savons maintenant, ce n'est pas toujours le cas. Plutôt que de rechercher un protocole spécifique sur le port standard, Censys recherche 17 protocoles différents sur chacun des plus de 2 000 ports analysés chaque semaine. Cela vous permet non seulement de repérer les acteurs malveillants qui utilisent intentionnellement des ports non standard, mais aussi de découvrir et de surveiller votre propre infrastructure de manière plus précise afin de pouvoir remédier rapidement aux erreurs de configuration.
Chaque environnement technologique devient de plus en plus complexe chaque jour et la gestion de votre système est un défi, quelle que soit la taille de votre équipe. La plate-forme ASM Censys permet aux équipes d'avoir la meilleure visibilité sur ce qui doit être protégé et où cela se trouve.
Pour en savoir plus sur la plate-forme de gestion de la surface d'attaque de Censys, visitez notre site Web ou demandez une démonstration dès aujourd'hui.