Le glossaire de la cybersécurité Censys

Le processus d'identification des ressources Internet qui font partie d'une surface d'attaque. Les connexions entre les ressources et la surface d'attaque doivent être déterminées de manière automatisée, en donnant la priorité aux résultats les plus probants afin de réduire les faux positifs. L'identification des actifs est une capacité fondamentale de la gestion de la surface d'attaque et doit être effectuée aussi souvent que possible.

L'ensemble des actifs Internet pertinents pour la posture de cybersécurité d'une organisation, auxquels un attaquant peut tenter d'accéder ou qu'il peut compromettre. Les actifs internes et externes constituent une surface d'attaque et peuvent se trouver sur site, dans le nuage, chez des fournisseurs d'hébergement partagés et d'autres dépendances tierces. Une surface d'attaque comprend tous les actifs, qu'ils soient connus ou inconnus, et qu'ils soient protégés par une équipe informatique/de sécurité ou laissés sans surveillance.

Une approche proactive de la gestion de l'exposition impliquant la découverte, l'inventaire et la surveillance continus de l'infrastructure informatique d'une organisation, qu'elle soit connue ou non. La gestion de la surface d'attaque (ASM) est un processus continu qui implique une visibilité interne et externe des actifs. L'ASM donne aux programmes de sécurité la capacité de comprendre et de partager le contexte entre les équipes afin de devenir proactifs dans la construction de solutions sécurisées et la protection de l'entreprise. La gestion de la surface d'attaque externe (EASM) est une fonction du processus plus large de gestion de la surface d'attaque qui se concentre spécifiquement sur la surface d'attaque externe.

Censys Attack Surface Management est une solution ASM de premier ordre qui permet aux équipes de sécurité d'obtenir une visibilité totale de leurs surfaces d'attaque. Une vue extérieure, ou perspective de l'attaquant, de chaque actif et exposition est actualisée quotidiennement, heure par heure ou à la demande, donnant à votre organisation une visibilité et un contexte en temps quasi réel afin que vous puissiez gérer et communiquer votre posture de cybersécurité. Votre surface d'attaque externe est également évaluée pour les risques et chacun est priorisé en fonction de ce qui est important pour vous.

Méthode de balayage des ports consistant à analyser chaque réponse du serveur afin d'identifier le service sous-jacent, même si le service n'est pas standard pour le numéro de port (par exemple, SSH sur le port 1234). Cette méthode tient compte du fait que n'importe quel service peut être exécuté sur n'importe quel port. Environ 60 % de tous les services observés sur l'internet se trouvent sur un port non standard.

Nos données constituent le fondement de la plateforme Censys . Fondée par les créateurs de zMap, la carte propriétaire de l'Internet Censysoffre la plus grande couverture, la découverte la plus rapide et les informations les plus approfondies qui soient. La carte InternetCensys est la collection la plus complète et la plus à jour de l'infrastructure Internet mondiale, enrichie d'un contexte critique pour permettre à vos équipes de sécurité et de renseignement d'agir.

La carte Internet Censys en chiffres :

• Certificats 10B
• 137 Ports supérieurs
• 1 440 ports cloud par jour
• 3 502 ports par semaine
• >200 millions d'hôtes IPv4
• >80 millions d'hôtes IPv6
• >580 millions d'hôtes basés sur des noms
• Actualisation quotidienne de tous les services (>2B)
• 7 ans de données historiques

La première plateforme d'intelligence Internet pour la chasse aux menaces et la gestion de l'exposition, fondée sur la carte de l'Internet la plus complète, la plus précise et la plus actualisée qui soit. Pour s'assurer que les équipes de sécurité ont une visibilité sur le paysage des menaces, elles doivent avoir accès à un ensemble de données complet et hautement contextualisé pour une analyse de sécurité à la fois proactive et réactive à grande échelle. Avec la plateforme Censys , les organisations peuvent obtenir les données les plus précises disponibles, ce qui permet aux équipes d'éliminer les menaces aussi près que possible du temps réel, sans déploiement ni configuration.

Une intégration avec les comptes cloud qui est utilisée pour la découverte des nuages fantômes, la surveillance de l'exposition et l'inventaire des actifs cloud. Les informations provenant de tous les actifs connectés à Internet dans un compte cloud donné (Amazon S3, Azure Blob, Google Cloud Storage, instances virtuelles, bases de données, etc.) sont continuellement introduites dans une plateforme ASM, idéalement aussi fréquemment que possible, ce qui enrichit le processus de découverte des actifs et fournit une visibilité totale du cloud. Les connecteurs cloud sont disponibles sur la plateforme Censys Attack Surface Management et permettent aux utilisateurs d'obtenir une visibilité totale sur l'ensemble des clouds.

Logiciel utilisé pour contrôler les serveurs sur lesquels ils apparaissent sur l'internet. Comme tout logiciel, ils ont des paramètres et des configurations par défaut identifiables de manière unique. Ils peuvent fournir aux professionnels de la sécurité des outils pour tester leurs défenses, mais ils peuvent également être utilisés pour des actions malveillantes.

Terme inventé par le cabinet d'analyse Gartner qui désigne "l'ensemble des processus et des capacités qui permettent aux entreprises d'évaluer en permanence et de manière cohérente l'accessibilité, l'exposition et l'exploitabilité des actifs numériques et physiques d'une entreprise". Les solutions de gestion de l'exposition, telles que Censys Attack Surface Management, qui découvrent les actifs inconnus et surveillent en permanence une surface d'attaque, peuvent faire partie d'une stratégie CTEM.

Les actifs, les systèmes et les réseaux (physiques et virtuels) qui sont essentiels au bon fonctionnement de l'économie et à la sécurité nationale. Les infrastructures critiques sont une cible attrayante pour les groupes de pirates informatiques et les acteurs de la menace des États-nations ; l'attaque de 2021 Colonial Pipeline est un exemple d'attaque récente contre des infrastructures critiques. Des pays comme les États-Unis ont fait de la défense des infrastructures critiques contre les cyberattaques une priorité essentielle. Dans sa stratégie nationale de cybersécurité pour 2023, l'administration Biden a déclaré que "la défense des infrastructures critiques contre les activités adverses et d'autres menaces nécessite un modèle de cyberdéfense qui imite la structure distribuée de l'internet. La combinaison de la collaboration organisationnelle et de la connectivité technologique créera un "réseau de réseaux" fondé sur la confiance, qui permettra d'acquérir une connaissance de la situation et de mener une action collective".

Tous les points d'entrée potentiels d'un bien donné qui peuvent être vus de l'extérieur vers l'intérieur (face à Internet). Les expositions en elles-mêmes ne déterminent pas le risque global pour une organisation, mais présentent des opportunités qui peuvent être exploitées par des attaquants, et doivent être surveillées ou traitées.

Une stratégie proactive de cybersécurité qui vise à identifier et à gérer tous les actifs exposés sur l'internet public. La gestion de l'exposition aide les organisations à mieux identifier les risques sur leur surface d'attaque afin de prévenir une cyberattaque. Une stratégie de gestion de l'exposition peut être mise en œuvre à l'aide de solutions de gestion de la surface d'attaque.

Entité orientée vers l'internet qu'une organisation contrôle afin de mener ses activités sur l'internet, y compris les adresses IP, les blocs de réseau (CIDR), les systèmes autonomes (ASN), les certificats, les domaines et sous-domaines, les sites web et les objets de stockage. Un ensemble de ressources externes représente la surface d'attaque externe d'une organisation.

L'ensemble des actifs externes pertinents pour la posture de cybersécurité d'une organisation. La surface d'attaque externe comprend à la fois des actifs connus et inconnus, et est devenue le premier point d'entrée des incidents de sécurité et des violations.

Un outil ou un processus qui découvre, inventorie et surveille en permanence l'exposition des ressources externes connues et inconnues. La gestion de la surface d'attaque externe fait partie d'un processus ou d'un programme plus large de gestion de la surface d'attaque, et devrait donner la priorité à la visibilité extérieure-intérieure des actifs externes, car ce sont eux qui seront les plus accessibles aux attaquants.

Lorsqu'une solution de cybersécurité ou une équipe de cybersécurité classe à tort une activité sur une surface d'attaque comme un risque. L'apparition fréquente de faux positifs peut conduire les équipes de sécurité à perdre inutilement du temps et des ressources à enquêter sur des activités bénignes, et peut entraîner une "lassitude du risque". Une étude de Forrester Research révèle qu'en moyenne, les clients de Censys ASM enregistrent 70 % de faux positifs en moins.

Les utilisateurs de Censys peuvent exploiter les données historiques collectées à partir de notre carte Internet pour mieux comprendre le comportement des appareils Internet au fil du temps et pour informer leurs efforts de chasse aux menaces. Les utilisateurs peuvent observer les changements survenus sur un équipement spécifique ou un groupe d'équipements à n'importe quel moment au cours des deux dernières années.

La présence de configurations et de protocoles de sécurité qui ne sont pas mis en œuvre ou qui sont mis en œuvre de manière incorrecte, ce qui entraîne des lacunes dans la posture de sécurité d'une organisation. Les services non cryptés, les contrôles de sécurité faibles ou manquants et les certificats auto-signés sont autant d'exemples de mauvaises configurations. Une étude menée à l'adresse Censys révèle que les mauvaises configurations sont le type de risque le plus répandu sur l'internet, représentant quatre des cinq risques les plus couramment observés.

Commande saisie dans un outil de recherche sur Internet et utilisée pour récupérer des informations sur un bien ou un groupe de biens. Une requête, ou "requête de recherche", peut renvoyer un large éventail d'informations sur les biens présents sur l'internet, y compris des détails sur l'emplacement géographique, les logiciels et les systèmes d'exploitation d'un hôte. L'équipe de recherche Censys partage fréquemment des requêtes que les utilisateurs peuvent exécuter afin d'éclairer leurs propres recherches sur les biens et les menaces Internet inhabituels.

Un type d'attaque de logiciels malveillants qui utilise le chiffrement pour bloquer les utilisateurs de leurs systèmes jusqu'à ce qu'une somme d'argent soit versée aux acteurs de la menace qui déploient l'attaque. Certaines attaques par ransomware menacent d'exposer les données si les victimes ne paient pas dans le délai imparti. Les ransomwares peuvent se propager par le biais de pièces jointes malveillantes dans les courriels, d'applications logicielles et de sites web, entre autres sources intégrant un code malveillant.

Le processus d'atténuation ou d'élimination d'une vulnérabilité ou d'une menace pour le réseau d'une organisation. La remédiation peut intervenir avant qu'une activité malveillante n'ait un impact sur une organisation, par exemple dès la découverte d'une tentative d'hameçonnage, ou en réponse à l'activité afin de limiter les dommages, par exemple après une violation.

Déclenchement d'un balayage des ports de n'importe quel hôte dans une surface d'attaque afin de balayer à nouveau tous les services connus, en actualisant les données de l'hôte avec sa configuration la plus récente d'un point de vue externe-interne. Cette méthode est souvent utilisée comme un mécanisme de "confiance, mais vérification" en tant qu'étape finale des efforts de remédiation de l'exposition.

La possibilité qu'une exposition ait un impact négatif sur une organisation si elle est exploitée ou mise en œuvre par un attaquant. La gravité globale d'un risque est déterminée par une combinaison de l'exposition elle-même et des données sous-jacentes, du contexte commercial ou de l'importance pour un écosystème informatique. La gravité du risque peut varier au cas par cas.

Il s'agit d'actifs hébergés dans le nuage et orientés vers l'internet qui vivent en dehors de tout environnement protégé par le programme de sécurité d'une organisation. Le nuage fantôme est le résultat de l'adoption de nuages gérés et non gérés au sein d'une organisation, et se produit le plus souvent lorsque des parties de l'organisation en dehors de l'informatique créent des services en nuage, souvent en contournant tout processus informatique formel.

Actifs orientés vers l'internet qui ne sont pas entretenus, gérés et protégés de manière cohérente par une organisation. Shadow IT présente des vecteurs d'attaque faciles à exploiter car ces actifs sont en dehors du champ d'application des outils de sécurité et disposent donc d'une protection minimale. Les sources courantes de Shadow IT sont les infrastructures héritées, les actifs nouvellement hérités à la suite d'une fusion ou d'une acquisition, les actifs non gérés par l'informatique créés par d'autres parties de l'organisation et l'adoption de services en nuage.

Une approche proactive de la cybersécurité dans laquelle des analystes qualifiés utilisent des renseignements sur Internet et d'autres outils de cybersécurité pour rechercher et identifier les risques, les vulnérabilités et d'autres menaces potentiellement malveillantes pour l'organisation. La chasse aux menaces est une forme de défense vigilante qui aide les organisations à garder une longueur d'avance sur les acteurs de la menace. Elle implique que les chasseurs de menaces développent des hypothèses basées sur les comportements connus des acteurs de la menace et qu'ils valident ou réfutent ces hypothèses par le biais d'investigations.

Une stratégie de cybersécurité qui identifie et évalue en permanence les vulnérabilités des systèmes afin que les organisations puissent hiérarchiser les menaces et mieux protéger leurs actifs. Les solutions de gestion des vulnérabilités commencent par un balayage pour évaluer les actifs connus ; si des vulnérabilités sont découvertes sur ces actifs, une solution de gestion des vulnérabilités évaluera et classera ces vulnérabilités par ordre de priorité. Contrairement à ASM, qui identifie à la fois les actifs connus et inconnus, VM ne s'intéresse qu'aux actifs déjà connus de l'entreprise. Les équipes de sécurité peuvent enrichir leurs efforts de VM avec ASM en ajoutant les actifs nouvellement découverts à leur inventaire pour une surveillance et une gestion continues.

Tous les services HTTP(S) nommés tels que les sites web, les instances elasticsearch, les clusters kubernetes et les points d'extrémité prometheus. Les utilisateurs de Censys Attack Surface Management peuvent utiliser notre fonction Web Entities pour obtenir une visibilité sur leurs sites Web et autres contenus HTTP nommés. Ces actifs peuvent être découverts, surveillés, évalués pour les risques et triés afin que les équipes puissent mieux se défendre contre les endroits où les attaques se produisent. La fonction Entités Web a été modélisée pour mieux refléter l'infrastructure en nuage que la plupart des équipes utilisent pour déployer leurs sites Web et leurs services HTTP nominatifs.

Également connus sous le nom de certificats SSL, les certificats X.509 contribuent à réduire les risques sur l'internet en permettant le cryptage du trafic web et en faisant office de vérification d'identité. Les certificats étant utiles pour vérifier l'identité d'une entité, ils peuvent constituer des pivots utiles dans la chasse aux menaces et d'autres enquêtes. Censys possède le plus grand référentiel de certificats X.509 existant, que les utilisateurs peuvent explorer grâce à des capacités de recherche avancées et granulaires afin de retrouver rapidement les informations dont ils ont besoin.

Principe de sécurité ou cadre d'architecture appliqué aux systèmes informatiques d'une organisation. La confiance zéro est utilisée pour sécuriser l'infrastructure et exige que toutes les personnes qui tentent d'accéder à cette infrastructure soient continuellement authentifiées et validées. Comme son nom l'indique, un modèle de confiance zéro n'accorde pas à un utilisateur, même au sein de l'organisation, une confiance implicite sans vérification. La confiance zéro repose sur trois principes définis par le NIST : 1. une administration des identités renforcée et des contrôles basés sur des politiques ; 2. une micro-segmentation ; 3. une authentification et une validation continues des personnes qui tentent d'accéder à l'infrastructure.) Micro-segmentation 3.) Réseaux superposés et périmètres définis par logiciel.