Bienvenue dans la troisième partie de notre série "Libérez la puissance de Censys Search" ! Dans cette série, nous examinons de plus près les différentes façons dont les utilisateurs de Censys Search peuvent tirer le meilleur parti de leur engagement avec l'outil. Dans la première partie, nous avons donné des conseils pour commencer à exécuter des requêtes dans Censys Search. Dans la deuxième partie, nous avons présenté des exemples concrets de l'utilisation de Censys Search pour soutenir les enquêtes de chasse aux menaces et les efforts de recherche. Dans le blog d'aujourd'hui, nous nous concentrons sur la valeur de l'accès aux données historiques par le biais de Censys Search. Tous les utilisateurs de Censys Search ont la possibilité de consulter des données historiques afin d'observer l'évolution dans le temps d'actifs tels que les hôtes. La profondeur des données historiques varie selon les offres de Censys Search.
Voyons pourquoi une perspective historique peut s'avérer précieuse et comment y parvenir dans Censys Search.
Remonter le temps : l'importance des données historiques
Dans le domaine de la cybersécurité, la possibilité de voir comment les actifs exposés à Internet ont évolué au fil du temps peut s'avérer incroyablement utile. En évaluant l'activité d'actifs tels que les hôtes au fil du temps, les équipes de sécurité peuvent tracer les empreintes de menaces potentielles et obtenir un contexte inégalé qui leur permet de prendre des décisions plus éclairées sur la façon d'atténuer et de prévenir les menaces futures.
Les avantages de ce type de vision historique sont les suivants
1. faire progresser les efforts de chasse aux menaces : L'un des principaux avantages d'une perspective historique est la possibilité de découvrir des menaces furtives et persistantes qui auraient pu passer inaperçues lors d'une surveillance en temps réel. Les menaces opèrent souvent dans l'ombre, laissant des traces subtiles qui peuvent facilement passer inaperçues dans le chaos de la surveillance en direct. Grâce à la possibilité de remonter le temps, les chasseurs de menaces peuvent braquer les projecteurs sur les menaces dormantes, comprendre leurs phases d'inactivité et leur résurgence potentielle. Cette attitude proactive est inestimable pour tuer dans l'œuf les risques potentiels avant qu'ils ne se transforment en véritables attaques. Découvrez un exemple de la manière dont les données historiques ont facilité une enquête de chasse aux menaces menée sur le site Censys.
2. Améliorer la réponse aux incidents : Les vues historiques servent également d'outil médico-légal, facilitant l'enquête et l'attribution des cyberincidents. Après une attaque, la possibilité d'examiner les données historiques peut aider les équipes à reconstituer la séquence des événements, à identifier le point initial de compromission et à retracer le mouvement latéral des adversaires au sein d'un réseau. Cette capacité forensique ne se limite pas à l'analyse post-incident ; elle joue également un rôle essentiel dans le renforcement de la posture de sécurité en aidant les équipes à tirer des leçons des incidents passés, de manière à prévenir des événements similaires à l'avenir.
3. Comprendre les tendances: Les vues historiques aident les équipes de sécurité et les chercheurs à mieux comprendre ce que les changements apportés aux dispositifs exposés à l'internet peuvent signifier pour la posture de sécurité et l'état de la sécurité de l'internet dans son ensemble. Notre propre équipe de recherche a récemment examiné si et comment les répertoires ouverts, un type d'exposition de longue date, étaient encore répandus sur l'internet. ( Les données historiques soutiennent également le travail de notre équipe de recherche sur des projets tels que le rapport annuel sur l'état de l'internet, qui aide à analyser comment l'internet devient, ou non, plus sûr au fil du temps.
Utilisation de Censys Search pour obtenir une vue historique
En tant que principal fournisseur de renseignements sur l'internet, Censys dispose de la vue la plus complète, la plus précise et la plus actualisée de l'infrastructure mondiale de l'internet. Cette vue nous a permis de suivre l'activité de l'infrastructure mondiale de l'internet au fil du temps et d'observer son évolution. Les utilisateurs de notre outil de recherche Censys ont également accès à cette vue temporelle, grâce aux données historiques disponibles via notre interface utilisateur web et notre API.
Qu'est-ce que cela signifie en pratique ? Sur n'importe quelle page d'hôte dans Censys Search, un utilisateur peut sélectionner "Historique de l'hôte" dans la barre de navigation supérieure pour voir une chronologie des événements liés à l'activité de l'hôte. Par exemple, un utilisateur peut voir quand des services sont ajoutés aux hôtes, quand des lieux sont mis à jour et quand des champs sont modifiés, entre autres activités.
Vous trouverez ci-dessous un exemple d'affichage de l'historique de l'hôte.
Lorsque vous observez l'historique d'un hôte, vous pouvez soit consulter une liste de toutes les activités temporelles (ce qui est montré ci-dessus), soit comparer l'activité de deux points dans le temps. Pour voir toutes les observations faites par Censys sur les services d'un hôte, même celles qui n'ont entraîné aucune modification de sa représentation, ouvrez l'onglet Historique et mettez le bouton "Voir toutes les observations" en bleu. Pour comparer l'activité de deux points dans le temps, cochez les cases à gauche de l'activité que vous souhaitez comparer et cliquez sur le bouton "Comparer". Une comparaison peut s'avérer utile pour déterminer si et comment un hôte a pu être affecté par un zero-day.
Quelques mots sur l'accès : Comme nous l'avons mentionné, tous les utilisateurs de Censys Search ont accès aux données historiques ! Les utilisateurs de la communauté gratuite ont accès à une semaine de données historiques, tandis que les utilisateurs de progiciels avancés ont accès à des données historiques plus complètes, remontant jusqu'à trois ans. Les chercheurs et les utilisateurs intéressés par nos téléchargements de données peuvent accéder à sept années de données historiques.
Exploiter les données historiques dans la pratique
L'équipe de recherche Censys a récemment utilisé la fonction d'historique des hôtes dans Censys Search pour faciliter une enquête sur l'infrastructure de NTC Vulkan. NTC Vulkan est un groupe basé à Moscou, fondé par deux anciens responsables des services de renseignement russes. Des rapports indiquent que le groupe a été engagé par les services de renseignement russes pour créer des outils cybernétiques offensifs, y compris ceux qui pourraient être utilisés pour cibler des élections et attaquer des infrastructures critiques.
Au cours de leur enquête, les chercheurs de Censys ont découvert six hôtes appartenant à NTC Vulkan et ont pu établir le profil actuel et historique des outils et des logiciels qu'ils hébergeaient, ce qui a permis de dresser un profil de base de l'entreprise. Par exemple, grâce à une analyse historique, Censys a pu identifier un serveur GitLab que NTC Vulkan pourrait avoir utilisé pour développer des outils pour le GRU Sandworm (une unité cybernétique du service de renseignement militaire russe). L'étude de l'historique des hôtes de NTC Vulkan a permis à l'équipe d'en savoir plus sur les fonctions essentielles des hôtes et même sur l'organisation elle-même.
Consultez notre article sur la découverte de l'infrastructure Vulkan de NTC pour une analyse complète de ce que notre équipe de recherche a découvert.
Si vous avez suivi le site Censys, vous avez probablement entendu parler de notre enquête sur les ransomwares russes. Il y a beaucoup de détails à partager sur cette enquête, que vous pouvez lire en intégralité ici. Cependant, comme le travail de l'équipe portait sur l'historique de l'hôte, elle a utilisé une perspective historique dans Censys Search pour aider à confirmer que ce qu'elle observait était bien une activité malveillante.
L'équipe avait identifié un hôte suspect avec un certificat PoshC2 qui présentait également une réponse HTTP avec un kit de logiciels malveillants. Grâce à l'analyse historique du kit de logiciels malveillants, l'équipe a pu constater que des mois auparavant, le kit de logiciels malveillants avait ajouté "restoreassistance_net@decorous[.]cyou" à chacun de ses fichiers. Une recherche sur Google a révélé que "@decorous[.]cyou" était un domaine utilisé par le groupe MedusaLocker, ce qui a été confirmé par une alerte CISA.
Censys a estimé qu'il s'agissait d'une "preuve irréfutable" et que cet hôte faisait partie d'un réseau C2 de ransomware, probablement en tant qu'attaquant ou mandataire (une victime est possible ; cependant, l'analyse historique de Censysindique la présence, la suppression et la réapparition du certificat PoshC2 et la persistance du kit de logiciels malveillants modifié au fil du temps, ce qui correspondrait davantage à un attaquant qui modifie ses méthodes d'attaque).
En d'autres termes, sans cette vue historique, les chercheurs de Censys n'auraient pu observer l'activité de l'hôte F que du point de vue actuel et n'auraient pas vu les changements liés au certificat PoshC2 et au kit de logiciels malveillants.
Tirer les leçons du passé pour assurer l'avenir
Les biens exposés à Internet et les menaces qui les ciblent évoluent en permanence. La capacité de regarder en arrière pour voir comment l'activité associée à ces biens a changé fournit une lentille critique à travers laquelle les praticiens de la sécurité, les chasseurs de menaces et les chercheurs peuvent identifier les menaces et gérer les risques, ainsi qu'acquérir des connaissances qui peuvent être utilisées pour prendre des décisions plus éclairées à l'avenir.
Consultez les données historiques sur Censys Search dès aujourd'hui ! Rendez-vous sur search.censys.io pour commencer à explorer ou pour créer un compte communautaire gratuit.
Vous souhaitez passer d'un compte gratuit à un compte supérieur ? Contactez notre équipe!
